Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Administración de vulnerabilidades de Microsoft Defender
- Microsoft Defender XDR
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
La capacidad de exportar vulnerabilidades de software por dispositivo devuelve todas las vulnerabilidades de software conocidas y sus detalles para todos los dispositivos, por dispositivo. Las distintas llamadas API obtienen diferentes tipos de datos. Dado que la cantidad de datos puede ser grande, hay tres maneras de recuperarlos:
Exportación de la evaluación de vulnerabilidades de software: respuesta JSON La API extrae todos los datos de la organización como respuestas Json. Este método es mejor para organizaciones pequeñas con menos de 100 K dispositivos. La respuesta está paginada, por lo que puede usar el campo @odata.nextLink de la respuesta para capturar los resultados siguientes.
Exportación de la evaluación de vulnerabilidades de software: a través de archivos Esta solución de API permite extraer grandes cantidades de datos de forma más rápida y confiable. Los archivos a través de se recomiendan para organizaciones grandes, con más de 100 K dispositivos. Esta API extrae todos los datos de la organización como archivos de descarga. La respuesta contiene direcciones URL para descargar todos los datos de Azure Storage. Esta API le permite descargar todos los datos de Azure Storage de la siguiente manera:
- Llame a la API para obtener una lista de direcciones URL de descarga con todos los datos de la organización.
- Descargue todos los archivos mediante las direcciones URL de descarga y procese los datos como desee.
Evaluación de vulnerabilidades de software de exportación delta: respuesta JSON Devuelve una tabla con una entrada para cada combinación única de: DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId y EventTimestamp. La API extrae datos de la organización como respuestas Json. La respuesta se pagina, por lo que puede usar el @odata.nextLink campo de la respuesta para capturar los resultados siguientes.
La "evaluación de vulnerabilidades de software (respuesta JSON)" completa se usa para obtener una instantánea completa de la evaluación de vulnerabilidades de software de su organización por dispositivo. Sin embargo, la llamada a la API de exportación diferencial se usa para capturar solo los cambios que se produjeron entre una fecha seleccionada y la fecha actual (la llamada a la API "delta"). En lugar de obtener una exportación completa con una gran cantidad de datos cada vez, solo se obtiene información específica sobre las vulnerabilidades nuevas, fijas y actualizadas. La llamada a la API de respuesta JSON de exportación diferencial también se puede usar para calcular KPI diferentes, como "¿cuántas vulnerabilidades se han corregido?" o "¿cuántas nuevas vulnerabilidades se agregaron a mi organización?".
Dado que la llamada a la API de respuesta JSON de exportación delta para vulnerabilidades de software devuelve datos solo para un intervalo de fechas de destino, no se considera una exportación completa.
Los datos recopilados (mediante la respuesta Json o a través de archivos) son la instantánea actual del estado actual. No contiene datos históricos. Para recopilar datos históricos, los clientes deben guardar los datos en sus propios almacenamientos de datos.
Nota:
A menos que se indique lo contrario, todos los métodos de evaluación de exportación enumerados son de exportación completa y por dispositivo (también denominados por dispositivo).
1. Exportación de la evaluación de vulnerabilidades de software (respuesta JSON)
Descripción del método de API 1.1
Esta respuesta de API contiene todos los datos de software instalado por dispositivo. Devuelve una tabla con una entrada para cada combinación única de DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion y CVEID.
1.1.1 Limitaciones
- El tamaño máximo de página es de 200 000.
- Las limitaciones de frecuencia de esta API son 30 llamadas por minuto y 1000 llamadas por hora.
1.2 Permisos
Se requiere uno de los siguientes permisos para llamar a esta API. Para obtener más información, incluido cómo elegir permisos, consulte Uso de Microsoft Defender para punto de conexión API para obtener más información.
| Tipo de permiso | Permiso | Nombre para mostrar del permiso |
|---|---|---|
| Aplicación | Vulnerability.Read.All | "Leer información sobre vulnerabilidades de administración de amenazas y vulnerabilidades" |
| Delegado (cuenta profesional o educativa) | Vulnerability.Read | "Leer información sobre vulnerabilidades de administración de amenazas y vulnerabilidades" |
Dirección URL 1.3
GET /api/machines/SoftwareVulnerabilitiesByMachine
1.4 Parámetros
- pageSize (valor predeterminado = 50 000): número de resultados en respuesta.
- $top: número de resultados que se van a devolver (no devuelve @odata.nextLink y, por lo tanto, no extrae todos los datos).
1.5 Propiedades
Nota:
- Cada registro es de 1 KB de datos. Debe tener este tamaño en cuenta al elegir el parámetro pageSize correcto automáticamente.
- Es posible que se devuelvan otras columnas en la respuesta. Estas columnas son temporales y pueden quitarse, por lo que solo se usan las columnas documentadas.
- Las propiedades definidas en la tabla siguiente se enumeran alfabéticamente, por identificador de propiedad. Al ejecutar esta API, la salida resultante no se devuelve necesariamente en el mismo orden que se muestra en esta tabla.
| Propiedad (ID) | Tipo de datos | Descripción | Ejemplo de un valor devuelto |
|---|---|---|---|
| CveId | Cadena | Identificador único asignado a la vulnerabilidad de seguridad en el sistema de vulnerabilidades y exposiciones comunes (CVE). | CVE-2020-15992 |
| CvssScore | Doble | La puntuación CVSS del CVE. | 6.2 |
| DeviceId | Cadena | Identificador único del dispositivo en el servicio. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | Cadena | Nombre de dominio completo (FQDN) del dispositivo. | johnlaptop.europe.contoso.com |
| DiskPaths | Matriz[cadena] | Prueba de disco de que el producto está instalado en el dispositivo. | ["C:\Archivos de programa (x86)\Microsoft\Silverlight\Application\silverlight.exe"] |
| ExploitabilityLevel | Cadena | El nivel de vulnerabilidad de esta vulnerabilidad (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| FirstSeenTimestamp | Cadena | La primera vez que se vio este producto CVE en el dispositivo. | 2020-11-03 10:13:34.8476880 |
| Id. | Cadena | Identificador único del registro. | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | Cadena | La última vez que se informó del software en el dispositivo. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | Cadena | Plataforma del sistema operativo que se ejecuta en el dispositivo. Esta propiedad indica sistemas operativos específicos con variaciones dentro de la misma familia, como Windows 10 y Windows 11. Consulte Administración de vulnerabilidades de Microsoft Defender sistemas operativos y plataformas compatibles para obtener más información. | Windows10 y Windows 11 |
| RbacGroupName | Cadena | El grupo de control de acceso basado en rol (RBAC). Si este dispositivo no está asignado a ningún grupo de RBAC, el valor es "Sin asignar". Si la organización no contiene ningún grupo de RBAC, el valor es "Ninguno". | Servidores |
| RecommendationReference | Cadena | Referencia al identificador de recomendación relacionado con este software. | va-microsoft-silverlight |
| RecommendedSecurityUpdate (opcional) | Cadena | Nombre o descripción de la actualización de seguridad proporcionada por el proveedor de software para solucionar la vulnerabilidad. | Novedades de seguridad de abril de 2020 |
| RecommendedSecurityUpdateId (opcional) | Cadena | Identificador de las actualizaciones de seguridad o identificador aplicables para los artículos de guía o knowledge base (KB) correspondientes | 4550961 |
| RegistryPaths | Matriz[cadena] | Evidencia del Registro de que el producto está instalado en el dispositivo. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftSilverlight"] |
| SecurityUpdateAvailable | Booleano | Indica si hay una actualización de seguridad disponible para el software. | Los valores posibles son true o false. |
| SoftwareName | Cadena | Nombre del producto de software. | Chrome |
| SoftwareVendor | Cadena | Nombre del proveedor de software. | |
| SoftwareVersion | Cadena | Número de versión del producto de software. | 81.0.4044.138 |
| VulnerabilitySeverityLevel | Cadena | Nivel de gravedad asignado a la vulnerabilidad de seguridad en función de la puntuación de CVSS. | Mediano |
1.6 Ejemplos
1.6.1 Ejemplo de solicitud
GET https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pageSize=5
Ejemplo de respuesta 1.6.2
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetVulnerability)",
"value": [
{
"id": "00044f612345baf759462dbe6db733b6a9c59ab4_edge_10.0.17763.1637__",
"deviceId": "00044f612345daf756462bde6bd733b9a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2de2f5ea3142726e63f16a.DomainPII_21eeb80d089e79bdfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "edge",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-edge",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462bde6db733b9a9c56ad4_.net_framework_4.0.0.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ad4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eeb80b086e79bdfa178eabfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": ".net_framework",
"softwareVersion": "4.0.0.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"SOFTWARE\\Microsoft\\NET Framework Setup\\NDP\\v4.0\\Client\\Install"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-.net_framework",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462dbe6db733d6a9c59ab4_system_center_2012_endpoint_protection_4.10.209.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eed80b089e79bdfa178eadfa25e8be6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "system_center_2012_endpoint_protection",
"softwareVersion": "4.10.209.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Microsoft Security Client"
],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-system_center_2012_endpoint_protection",
"securityUpdateAvailable": true
},
{
"id": "00044f612345bdaf759462dbe6bd733b6a9c59ab4_onedrive_20.245.1206.2__",
"deviceId": "00044f91234daf759492dbe6bd733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_189663d45612eed224b2be2f5ea3142729e63f16a.DomainPII_21eed80b086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.245.1206.2",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2944539346-1310925172-2349113062-1001\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"securityUpdateAvailable": true
},
{
"id": "00044f912345daf759462bde6db733b6a9c56ab4_windows_10_10.0.17763.1637__",
"deviceId": "00044f912345daf756462dbe6db733d6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eeb224d2be2f5ea3142729e63f16a.DomainPII_21eeb80d086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "windows_10" "Windows_11",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-windows_10" "va-_-microsoft-_-windows_11",
"securityUpdateAvailable": true
}
],
"@odata.nextLink": "https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}
2. Exportación de la evaluación de vulnerabilidades de software (a través de archivos)
2.1 Descripción del método de API
Esta respuesta de API contiene todos los datos de software instalado por dispositivo. Devuelve una tabla con una entrada para cada combinación única de DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CVEID.
2.1.2 Limitaciones
Las limitaciones de frecuencia de esta API son 5 llamadas por minuto y 20 llamadas por hora.
2.2 Permisos
Se requiere uno de los siguientes permisos para llamar a esta API. Para obtener más información, incluido cómo elegir permisos, consulte Uso de Microsoft Defender para punto de conexión API para obtener más información.
| Tipo de permiso | Permiso | Nombre para mostrar del permiso |
|---|---|---|
| Aplicación | Vulnerability.Read.All | "Leer información sobre vulnerabilidades de administración de amenazas y vulnerabilidades" |
| Delegado (cuenta profesional o educativa) | Vulnerability.Read | "Leer información sobre vulnerabilidades de administración de amenazas y vulnerabilidades" |
Dirección URL 2.3
GET /api/machines/SoftwareVulnerabilitiesExport
2.4 Parámetros
-
sasValidHours: el número de horas para las que son válidas las direcciones URL de descarga. El máximo es de 6 horas.
2.5 Propiedades
Nota:
- Los archivos están comprimidos con GZIP & en formato JSON multilínea.
- Las direcciones URL de descarga son válidas durante 1 hora a menos que se use el
sasValidHoursparámetro . - Para obtener la máxima velocidad de descarga de los datos, puede asegurarse de que está descargando desde la misma región de Azure en la que residen los datos.
- Cada registro es de 1 KB de datos. Debe tener esto en cuenta al elegir el parámetro pageSize correcto.
- Es posible que se devuelvan algunas columnas adicionales en la respuesta. Estas columnas son temporales y pueden quitarse, por lo que solo se usan las columnas documentadas.
| Propiedad (ID) | Tipo de datos | Descripción | Ejemplo de un valor devuelto |
|---|---|---|---|
| Exportación de archivos | array[string] | Una lista de direcciones URL de descarga para los archivos que contienen la instantánea actual de la organización. | ["https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...1", "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...2"] |
| GeneratedTime | Cadena | Hora en que se generó la exportación. | 2021-05-20T08:00:00Z |
2.6 Ejemplos
2.6.1 Ejemplo de solicitud
GET https://api-us.securitycenter.contoso.com/api/machines/SoftwareVulnerabilitiesExport
Ejemplo de respuesta 2.6.2
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles": [
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c000.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c001.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c002.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=..."
],
"generatedTime": "2021-01-11T11:01:00Z"
}
3. Evaluación de vulnerabilidades de software de exportación delta (respuesta JSON)
Descripción del método de API 3.1
Devuelve una tabla con una entrada para cada combinación única de DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId. La API extrae datos de la organización como respuestas Json. La respuesta se pagina, por lo que puede usar el @odata.nextLink campo de la respuesta para capturar los resultados siguientes. A diferencia de la evaluación completa de vulnerabilidades de software (respuesta JSON), que se usa para obtener una instantánea completa de la evaluación de vulnerabilidades de software de su organización por dispositivo, la llamada a la API de respuesta JSON de exportación delta se usa para capturar solo los cambios que se produjeron entre una fecha seleccionada y la fecha actual (la llamada API "delta"). En lugar de obtener una exportación completa con una gran cantidad de datos cada vez, solo se obtiene información específica sobre las vulnerabilidades nuevas, fijas y actualizadas. La llamada a la API de respuesta JSON de exportación diferencial también se puede usar para calcular KPI diferentes, como "¿cuántas vulnerabilidades se han corregido?" o "¿cuántas nuevas vulnerabilidades se agregaron a mi organización?".
Nota:
Actualizamos la evaluación completa de vulnerabilidades de software (VA plana/completa) por exportación de dispositivos cada seis horas y almacenamos cada instantánea en blob storage; la API siempre proporciona la instantánea más reciente, para enfatizar que llamar a Get Endpoint no desencadenará una generación, la llamada get endpoint solo leerá la versión más reciente de Flat OR Delta After sinceTime. Una finalización correcta de la exportación de VA completa desencadenará la exportación diferencial que captura los cambios de la va plana más reciente procesada por Delta a la nueva va plana.
Duplicados con ámbito de RBAC Dado que RBACGroup limita las exportaciones, un dispositivo que se mueve de un grupo de RBAC a otro aparecerá dos veces en una exportación delta al consultar con la vista global (
RBACGroup=*): una vez en su grupo anterior con el estado "Fijo" y una vez en su grupo actual con el estado "Nuevo". Use losrbacGroupIdidentificadores de dispositivo y juntos (o desduplicados de su lado) si necesita un único registro autoritativo por dispositivo.
Patrón de extracción recomendado
Línea de base : descargue la exportación completa de VA (Va plano) en su cadencia preferida (semanalmente es a menudo suficiente).
Mantenerse al día : exportación diferencial entre instantáneas completas (Delta se puede consultar hasta 14 días hasta el pasado).
Controlar movimientos de RBAC : al procesar entradas delta, desduplicadas donde la misma
Id(deviceId_software_versión _ cve)aparece bajo variosrbacGroupIdvalores.Cuando "Status" = Fix" la calcualidad de "EventTimestamp"- "FirstSeenTimestamp" debe proporcionar una estimación sobre cuándo se corrigió el CVE hasta una granularidad de 6 horas (debido al intervalo de ejecución del trabajo delta).
3.1.1 Limitaciones
- El tamaño máximo de página es de 200 000.
- El parámetro sinceTime tiene un máximo de 14 días.
- Las limitaciones de frecuencia de esta API son 30 llamadas por minuto y 1000 llamadas por hora.
3.2 Permisos
Se requiere uno de los siguientes permisos para llamar a esta API. Para obtener más información, incluido cómo elegir permisos, consulte Uso de Microsoft Defender para punto de conexión API para obtener más información.
| Tipo de permiso | Permiso | Nombre para mostrar del permiso |
|---|---|---|
| Aplicación | Vulnerability.Read.All | "Leer información sobre vulnerabilidades de administración de amenazas y vulnerabilidades" |
| Delegado (cuenta profesional o educativa) | Vulnerability.Read | "Leer información sobre vulnerabilidades de administración de amenazas y vulnerabilidades" |
Dirección URL 3.3
GET /api/machines/SoftwareVulnerabilityChangesByMachine
3.4 Parámetros
- sinceTime (obligatorio): la hora de inicio desde la que desea ver los cambios de datos. La administración de vulnerabilidades genera datos sobre vulnerabilidades nuevas y actualizadas cada 6 horas. Los datos devueltos incluyen todos los cambios capturados en el período de 6 horas en el que se encuentra el valor de sinceTime especificado, junto con los cambios en los períodos posteriores de 6 horas hasta e incluidos los datos generados más recientemente.
- pageSize (valor predeterminado = 50 000): número de resultados en respuesta.
- $top: número de resultados que se devolverán (no devuelve @odata.nextLink y, por lo tanto, no extrae todos los datos).
3.5 Propiedades
Cada registro devuelto contiene todos los datos de la evaluación completa de vulnerabilidades de software de exportación por la API de dispositivo, además de dos campos más: EventTimestamp y Status.
Nota:
- Es posible que se devuelvan otras columnas en la respuesta. Estas columnas son temporales y pueden quitarse, por lo que solo se usan las columnas documentadas.
- Las propiedades definidas en la tabla siguiente se enumeran alfabéticamente, por identificador de propiedad. Al ejecutar esta API, la salida resultante no se devuelve necesariamente en el mismo orden que se muestra en esta tabla.
| Propiedad (ID) | Tipo de datos | Descripción | Ejemplo de valor devuelto |
|---|---|---|---|
| CveId | Cadena | Identificador único asignado a la vulnerabilidad de seguridad en el sistema de vulnerabilidades y exposiciones comunes (CVE). | CVE-2020-15992 |
| CvssScore | Doble | La puntuación CVSS del CVE. | 6.2 |
| DeviceId | Cadena | Identificador único del dispositivo en el servicio. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | Cadena | Nombre de dominio completo (FQDN) del dispositivo. | johnlaptop.europe.contoso.com |
| DiskPaths | Matriz[cadena] | Prueba de disco de que el producto está instalado en el dispositivo. | ["C:\Archivos de programa (x86)\Microsoft\Silverlight\Application\silverlight.exe"] |
| EventTimestamp | Cadena | La hora en que se encontró este evento delta. | 2020-11-03 10:13:34.8476880 |
| ExploitabilityLevel | Cadena | El nivel de vulnerabilidad de esta vulnerabilidad (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| IsOnboarded | Booleano | Indica si un dispositivo está incorporado o no. | Los valores posibles son true o false. |
| FirstSeenTimestamp | Cadena | La primera vez que se vio el CVE de este producto en el dispositivo. | 2020-11-03 10:13:34.8476880 |
| Id. | Cadena | Identificador único del registro. | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | Cadena | La última vez que se informó del software en el dispositivo. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | Cadena | Plataforma del sistema operativo que se ejecuta en el dispositivo; sistemas operativos específicos con variaciones dentro de la misma familia, como Windows 10 y Windows 11. Consulte Administración de vulnerabilidades de Microsoft Defender sistemas operativos y plataformas compatibles para obtener más información. | Windows10 y Windows 11 |
| RbacGroupName | Cadena | El grupo de control de acceso basado en rol (RBAC). Si este dispositivo no está asignado a ningún grupo de RBAC, el valor es "Sin asignar". | Servidores |
| RecommendationReference | string | Referencia al identificador de recomendación relacionado con este software. | va--microsoft--silverlight |
| RecommendedSecurityUpdate | Cadena | Nombre o descripción de la actualización de seguridad proporcionada por el proveedor de software para solucionar la vulnerabilidad. | Novedades de seguridad de abril de 2020 |
| RecommendedSecurityUpdateId | Cadena | Identificador de las actualizaciones de seguridad o identificador aplicables para los artículos de guía o knowledge base (KB) correspondientes | 4550961 |
| RegistryPaths | Matriz[cadena] | Evidencia del Registro de que el producto está instalado en el dispositivo. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome"] |
| SoftwareName | Cadena | Nombre del producto de software. | Chrome |
| SoftwareVendor | Cadena | Nombre del proveedor de software. | |
| SoftwareVersion | Cadena | Número de versión del producto de software. | 81.0.4044.138 |
| Estado | Cadena | Nuevo (para una nueva vulnerabilidad introducida en un dispositivo) (1) Corregido (si esta vulnerabilidad ya no existe en el dispositivo, lo que significa que se corrigió). (2) Actualizado (si ha cambiado una vulnerabilidad en un dispositivo). Los cambios posibles son: puntuación CVSS, nivel de vulnerabilidad, nivel de gravedad, DiskPaths, RegistryPaths, RecommendedSecurityUpdate). | Decimal |
| VulnerabilitySeverityLevel | Cadena | Nivel de gravedad que se asigna a la vulnerabilidad de seguridad y se basa en la puntuación CVSS. | Mediano |
Aclaraciones
Si el software se actualizó de la versión 1.0 a la versión 2.0 y ambas versiones se exponen a CVE-A, recibirá dos eventos independientes:
- Corregido: CVE-A en la versión 1.0 se corrigió.
- Nuevo: Se agregó CVE-A en la versión 2.0.
Si una vulnerabilidad específica (por ejemplo, CVE-A) se vio por primera vez en una hora específica (por ejemplo, el 10 de enero) en el software con la versión 1.0 y unos días más tarde ese software se actualizó a la versión 2.0 que también se expuso al mismo CVE-A, recibirá estos dos eventos separados:
- Corregido: CVE-X, FirstSeenTimestamp 10 de enero, versión 1.0.
- Nuevo: CVE-X, FirstSeenTimestamp 10 de enero, versión 2.0.
3.6 Ejemplos
3.6.1 Ejemplo de solicitud
GET https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilityChangesByMachine?pageSize=5&sinceTime=2021-05-19T18%3A35%3A49.924Z
Ejemplo de respuesta 3.6.2
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.DeltaAssetVulnerability)",
"value": [
{
"id": "008198251234544f7dfa715e278d4cec0c16c171_chrome_87.0.4280.88__",
"deviceId": "008198251234544f7dfa715e278b4cec0c19c171",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_1c8fee370690ca24b6a0d3f34d193b0424943a8b8.DomainPII_0dc1aee0fa366d175e514bd91a9e7a5b2b07ee8e.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "87.0.4280.88",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Google Chrome"
],
"lastSeenTimestamp": "2021-01-04 00:29:42",
"firstSeenTimestamp": "2020-11-06 03:12:44",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "00e59c61234533860738ecf488eec8abf296e41e_onedrive_20.64.329.3__",
"deviceId": "00e56c91234533860738ecf488eec8abf296e41e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_82c13a8ad8cf3dbaf7bf34fada9fa3aebc124116.DomainPII_21eeb80d086e79dbfa178eadfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.64.329.3",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2127521184-1604012920-1887927527-24918864\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-11 19:49:48",
"firstSeenTimestamp": "2020-12-07 18:25:47",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "01aa8c73095bb12345918663f3f94ce322107d24_firefox_83.0.0.0_CVE-2020-26971_",
"deviceId": "01aa8c73065bb12345918693f3f94ce322107d24",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_42684eb981bea2d670027e7ad2caafd3f2b381a3.DomainPII_21eed80b086e76dbfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "mozilla",
"softwareName": "firefox",
"softwareVersion": "83.0.0.0",
"cveId": "CVE-2020-26971",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "193220",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Mozilla Firefox 83.0 (x86 en-US)"
],
"lastSeenTimestamp": "2021-01-05 17:04:30",
"firstSeenTimestamp": "2020-05-06 12:42:19",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-mozilla-_-firefox",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "026f0fcb12345fbd2decd1a339702131422d362e_project_16.0.13701.20000__",
"deviceId": "029f0fcb13245fbd2decd1a336702131422d392e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_a5706750acba75f15d69cd17f4a7fcd268d6422c.DomainPII_f290e982685f7e8eee168b4332e0ae5d2a069cd6.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "project",
"softwareVersion": "16.0.13701.20000",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\ProjectProRetail - en-us"
],
"lastSeenTimestamp": "2021-01-03 23:38:03",
"firstSeenTimestamp": "2019-08-01 22:56:12",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-project",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "038df381234510b357ac19d0113ef622e4e212b3_chrome_81.0.4044.138_CVE-2020-16011_",
"deviceId": "038df381234510d357ac19b0113ef922e4e212b3",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596a43a2ef2bbfa00f6a16c0cb1d108bc63e32.DomainPII_3c5fefd2e6fda2f36257359404f6c1092aa6d4b8.net",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "81.0.4044.138",
"cveId": "CVE-2020-16011",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "ADV 200002",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{C4EBFDFD-0C55-3E5F-A919-E3C54949024A}"
],
"lastSeenTimestamp": "2020-12-10 22:45:41",
"firstSeenTimestamp": "2020-07-26 02:13:43",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
}
],
"@odata.nextLink": "https://wpatdadi-eus-stg.cloudapp.net/api/machines/SoftwareVulnerabilitiesTimeline?sincetime=2021-01-11&pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}
Vea también
- Exportación de métodos de evaluación y propiedades por dispositivo
- Exportación de una evaluación de configuración segura por dispositivo
- Exportación de la evaluación del inventario de software por dispositivo
- Administración de vulnerabilidades de Microsoft Defender
- Vulnerabilidades en la organización
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.