Live-vastauskomentojen suorittaminen laitteessa

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint lueteltuja URI-tunnuksia Yhdysvaltain valtionhallinnon asiakkaille.

Vihje

Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

Ohjelmointirajapinnan kuvaus

Suorittaa reaaliaikaisen vastauskomennon laitteessa

Rajoitukset

1. Tämän ohjelmointirajapinnan hintarajoitukset ovat 10 kutsua minuutissa (lisäpyyntöihin vastataan HTTP 429:llä).

2. 25 samanaikaisesti suoritettavaa istuntoa (pyynnöt, jotka ylittävät rajoituksen rajan, saavat "429 – Liian monta pyyntöä" -vastauksen).

3. Jos tietokone ei ole käytettävissä, istunto on jonossa enintään kolme päivää.

4. RunScript-komennon aikakatkaisut 10 minuutin kuluttua.

5. Reaaliaikaisen vastauksen komentoja ei voi siirtää jonoon, ja ne voidaan suorittaa vain yksi kerrallaan.

6. Jos tietokone, jota yrität suorittaa tämän ohjelmointirajapinnan kutsun, on RBAC-laiteryhmässä, jolle ei ole määritetty automaattista korjaustasoa, sinun on otettava käyttöön vähintään vähimmäiskorjaustaso tietylle laiteryhmälle.

   Huomautus

   Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

7. Yhdellä ohjelmointirajapintakutsulla voidaan suorittaa useita reaaliaikaisen vastauksen komentoja. Kun live-vastauskomento epäonnistuu, kaikkia seuraavia toimintoja ei kuitenkaan suoriteta.

8. Useita reaaliaikaisia vastausistuntoja ei voi suorittaa samassa koneessa (jos reaaliaikainen vastaustoiminto on jo käynnissä, seuraaviin pyyntöihin vastataan http 400 - ActiveRequestAlreadyExists) -toiminnolla.

Huomautus

Laitteen sivulta aloitetut reaaliaikaiset vastaustoiminnot eivät ole käytettävissä konetoimintojen ohjelmointirajapinnassa.

Vähimmäisvaatimukset

Ennen kuin voit aloittaa istunnon laitteessa, varmista, että täytät seuraavat vaatimukset:

• Varmista, että käytössäsi on tuettu Windows-, macOS- tai Linux-versio.

  Laitteissa on oltava käytössä jokin seuraavista:

  • Windows 11

  • Windows 10

    • Versio 1909 tai uudempi
    • Versio 1903 ja KB4515384
    • Versio 1809 (RS 5), jossa on KB4537818
    • Versio 1803 (RS 4), jossa on KB4537795
    • Versio 1709 (RS 3), jossa on KB4537816

  • Windows Server 2019 – Käytettävissä vain julkiseen esikatseluun

    • Versio 1903 tai ( KB4515384) uudempi
    • Versio 1809 ( KB4537818 kanssa)

  • Windows Server 2022

  • macOS(edellyttää muita määritysprofiileja)

    • 13 (Ventura)
    • 12 (Monterey)
    • 11 (Big Sur)

  • Linux

    • Tuetut Linux-palvelinjakelut ja ydinversiot

Käyttöoikeudet

Tämän ohjelmointirajapinnan kutsumiseen tarvitaan jokin seuraavista käyttöoikeuksista. Lisätietoja, mukaan lukien käyttöoikeuksien valitseminen, on artikkelissa Aloittaminen.

Käyttöoikeustyyppi	Lupaa	Käyttöoikeuden näyttönimi
Sovellus	Machine.LiveResponse	Reaaliaikaisen vastauksen suorittaminen tietyssä tietokoneessa
Delegoitu (työpaikan tai oppilaitoksen tili)	Machine.LiveResponse	Reaaliaikaisen vastauksen suorittaminen tietyssä tietokoneessa

HTTP-pyyntö

POST https://api.securitycenter.microsoft.com/API/machines/{machine_id}/runliveresponse

Pyynnön otsikot

Nimi	Kirjoita	Kuvaus
Lupa	Merkkijono	Haltijatunnus<>. Tarvitaan.
Sisältötyyppi	Merkkijono	application/json. Tarvitaan.

Pyynnön leipäteksti

Parametri	Kirjoita	Kuvaus
Kommentoi	Merkkijono	Toimintoon liitettävä kommentti.
Komennot	Array	Suoritettavat komennot. Sallitut arvot ovat PutFile, RunScript ja GetFile (tässä järjestyksessä toistoja ei saa rajoittaa).

Komennot

Komentotyyppi	Parametrit	Kuvaus
PutFile	Avain: Tiedostonimi Arvo: <tiedostonimi>	Siirtää tiedoston kirjastosta laitteeseen. Tiedostot tallennetaan työkansioon, ja ne poistetaan, kun laite käynnistyy oletusarvoisesti uudelleen. HUOMAUTUS: Vastaustulos ei ole kelvollinen.
Runscript	Avain: ScriptName Arvo: <Komentosarja kirjastosta> Avain: Args Arvo: <Komentosarja-argumentit>	Suorittaa komentosarjan kirjastosta laitteessa. Args-parametri välitetään komentosarjaasi. Aikakatkaisu 10 minuutin kuluttua.
GetFile	Avain: Polku Arvo: <Tiedostopolku>	Kerää tiedosto laitteesta. HUOMAUTUS: Polun kenoviivat on poistettava.

Vastaus

• Jos tämä menetelmä onnistuu, se palauttaa arvon 201 Luotu.

  Toimintoentiteetti. Jos konetta, jolla on määritetty tunnus, ei löytynyt - 404 Ei löytynyt.

Esimerkki

Esimerkkipyyntö

Tässä on esimerkki pyynnöstä.

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/runliveresponse

```JSON
{
   "Commands":[
      {
         "type":"RunScript",
         "params":[
            {
               "key":"ScriptName",
               "value":"minidump.ps1"
            },
            {
               "key":"Args",
               "value":"OfficeClickToRun"
            }

         ]
      },
      {
         "type":"GetFile",
         "params":[
            {
               "key":"Path",
               "value":"C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
            }
         ]
      }
   ],
   "Comment":"Testing Live Response API"
}

Vastausesimerkki

Tässä on esimerkki vastauksesta.

Kunkin komennon tilan mahdollisia arvoja ovat Luotu, Valmis ja Epäonnistunut.

HTTP/1.1 200 Ok

Content-type: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#MachineActions/$entity",
    "id": "{machine_action_id}",
    "type": "LiveResponse",
    "requestor": "analyst@microsoft.com",
    "requestorComment": "Testing Live Response API",
    "status": "Pending",
    "machineId": "{machine_id}",
    "computerDnsName": "hostname",
    "creationDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
    "lastUpdateDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
    "errorHResult": 0,
    "commands": [
        {
            "index": 0,
            "startTime": null,
            "endTime": null,
            "commandStatus": "Created",
            "errors": [],
            "command": {
                "type": "RunScript",
                "params": [
                    {
                        "key": "ScriptName",
                        "value": "minidump.ps1"
                    },{
                        "key": "Args",
                        "value": "OfficeClickToRun"
                    }
                ]
            }
        }, {
            "index": 1,
            "startTime": null,
            "endTime": null,
            "commandStatus": "Created",
            "errors": [],
            "command": {
                "type": "GetFile",
                "params": [{
                        "key": "Path", "value": "C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
                    }
                ]
            }
        }
    ]
}

Aiheeseen liittyvät artikkelit

• Hae tietokoneen toiminnon ohjelmointirajapinta
• Hae Live Response -tulos
• Peruuta koneen toiminto

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.