Obtención de resultados de respuesta en directo

  • Artículo

Se aplica a:

Importante

Parte de la información contenida en este artículo se refiere a productos lanzados previamente que pueden sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Nota:

Si es cliente del Gobierno de EE. UU., use los URI que aparecen en Microsoft Defender para punto de conexión para los clientes del Gobierno de EE. UU.

Sugerencia

Para mejorar el rendimiento, puede usar el servidor más cercano a la ubicación geográfica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Descripción de la API

Recupera un resultado de comando de respuesta dinámica específico por su índice.

Limitaciones

  1. Las limitaciones de velocidad de esta API son 100 llamadas por minuto y 1500 llamadas por hora.

Requisitos mínimos

Antes de iniciar una sesión en un dispositivo, asegúrese de cumplir los siguientes requisitos:

Permisos

Se requiere uno de los siguientes permisos para llamar a esta API. Para más información, incluido cómo elegir permisos, consulte Introducción.

Tipo de permiso Permiso Nombre para mostrar del permiso
Aplicación Machine.Read.All Leer todos los perfiles de máquina
Aplicación Machine.ReadWrite.All Leer y escribir toda la información de la máquina
Delegado (cuenta profesional o educativa) Machine.LiveResponse Ejecución de una respuesta en directo en una máquina específica

Solicitud HTTP

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

Encabezados de solicitud

Nombre Tipo Descripción
Authorization Cadena {token} de portador. Obligatorio.

Cuerpo de la solicitud

En blanco

Respuesta

Si se ejecuta correctamente, este método devuelve el código de respuesta 200, Ok con el objeto que contiene el vínculo al comando da como resultado la propiedad value . Este vínculo es válido durante 30 minutos y debe usarse inmediatamente para descargar el paquete en un almacenamiento local. Otra llamada puede volver a crear un vínculo expirado y no es necesario volver a ejecutar la respuesta en directo.

Propiedades de transcripción de Runscript:

Propiedad Descripción
script_name Nombre del script ejecutado
exit_code Código de salida del script ejecutado
script_output Salida estándar del script ejecutado
script_errors Salida de error estándar del script ejecutado

Ejemplo:

Ejemplo de solicitud

Este es un ejemplo de la solicitud.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Ejemplo de respuesta

Este es un ejemplo de la respuesta:

HTTP/1.1 200 Ok

Tipo de contenido: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Contenido del archivo:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.