Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Gestion des vulnérabilités Microsoft Defender
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
La possibilité d’exporter des vulnérabilités logicielles par appareil retourne toutes les vulnérabilités logicielles connues et leurs détails pour tous les appareils, sur une base par appareil. Différents appels d’API obtiennent différents types de données. Étant donné que la quantité de données peut être importante, il existe trois façons de les récupérer :
Exporter l’évaluation des vulnérabilités logicielles : réponse JSON L’API extrait toutes les données de votre organization sous forme de réponses Json. Cette méthode est idéale pour les petites organisations avec moins de 100 000 appareils. La réponse étant paginée, vous pouvez utiliser le champ @odata.nextLink de la réponse pour extraire les résultats suivants.
Exporter l’évaluation des vulnérabilités logicielles : via des fichiers Cette solution d’API permet d’extraire de plus grandes quantités de données plus rapidement et de manière plus fiable. Les fichiers via sont recommandés pour les grandes organisations, avec plus de 100 000 appareils. Cette API extrait toutes les données de votre organization en tant que fichiers de téléchargement. La réponse contient des URL pour télécharger toutes les données à partir du stockage Azure. Cette API vous permet de télécharger toutes vos données à partir du Stockage Azure comme suit :
- Appelez l’API pour obtenir une liste d’URL de téléchargement avec toutes vos données organization.
- Téléchargez tous les fichiers à l’aide des URL de téléchargement et traitez les données comme vous le souhaitez.
Évaluation des vulnérabilités logicielles d’exportation Delta : réponse JSON Retourne une table avec une entrée pour chaque combinaison unique de : DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId et EventTimestamp. L’API extrait les données de votre organization sous forme de réponses Json. La réponse étant paginée, vous pouvez utiliser le @odata.nextLink champ de la réponse pour extraire les résultats suivants.
L’évaluation complète des vulnérabilités logicielles (réponse JSON) est utilisée pour obtenir une instantané complète de l’évaluation des vulnérabilités logicielles de votre organization par appareil. Toutefois, l’appel d’API d’exportation delta est utilisé pour extraire uniquement les modifications qui se sont produites entre une date sélectionnée et la date actuelle (l’appel d’API « delta »). Au lieu d’obtenir une exportation complète avec une grande quantité de données à chaque fois, vous obtenez uniquement des informations spécifiques sur les vulnérabilités nouvelles, corrigées et mises à jour. L’appel d’API de réponse JSON d’exportation Delta peut également être utilisé pour calculer différents indicateurs de performance clés, par exemple « combien de vulnérabilités ont été corrigées ? » ou « combien de nouvelles vulnérabilités ont été ajoutées à mon organization ? »
Étant donné que l’appel de l’API de réponse JSON d’exportation Delta pour les vulnérabilités logicielles retourne des données uniquement pour une plage de dates ciblée, il n’est pas considéré comme une exportation complète.
Les données collectées (à l’aide de la réponse Json ou via des fichiers) sont les instantané actuelles de l’état actuel. Il ne contient pas de données historiques. Pour collecter des données historiques, les clients doivent enregistrer les données dans leurs propres stockages de données.
Remarque
Sauf indication contraire, toutes les méthodes d’évaluation d’exportation répertoriées sont l’exportation complète et par appareil (également appelée par appareil).
1. Exporter l’évaluation des vulnérabilités logicielles (réponse JSON)
1.1 Description de la méthode d’API
Cette réponse d’API contient toutes les données des logiciels installés par appareil. Retourne une table avec une entrée pour chaque combinaison unique de DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion et CVEID.
1.1.1 Limitations
- La taille maximale de la page est de 200 000.
- Les limitations de débit pour cette API sont de 30 appels par minute et de 1 000 appels par heure.
1.2 Autorisations
L’une des autorisations suivantes est nécessaire pour appeler cette API. Pour en savoir plus, notamment sur le choix des autorisations, consultez Utiliser les API Microsoft Defender pour point de terminaison pour plus d’informations.
| Type d’autorisation | Autorisation | Nom complet de l’autorisation |
|---|---|---|
| Application | Vulnerability.Read.All | « Lire les informations sur les vulnérabilités de gestion des menaces et des vulnérabilités » |
| Déléguée (compte professionnel ou scolaire) | Vulnerability.Read | « Lire les informations sur les vulnérabilités de gestion des menaces et des vulnérabilités » |
1.3 URL
GET /api/machines/SoftwareVulnerabilitiesByMachine
1.4 Paramètres
- pageSize (valeur par défaut = 50 000) : nombre de résultats dans la réponse.
- $top : nombre de résultats à retourner (ne retourne @odata.nextLink pas et n’extrait donc pas toutes les données).
1.5 Propriétés
Remarque
- Chaque enregistrement représente 1 Ko de données. Vous devez prendre cette taille en compte lorsque vous choisissez le paramètre pageSize approprié pour vous.
- D’autres colonnes peuvent être retournées dans la réponse. Ces colonnes sont temporaires et peuvent être supprimées. Utilisez donc uniquement les colonnes documentées.
- Les propriétés définies dans le tableau suivant sont répertoriées par ordre alphabétique, par ID de propriété. Lors de l’exécution de cette API, la sortie résultante n’est pas nécessairement retournée dans le même ordre que celui indiqué dans cette table.
| Propriété (ID) | Type de données | Description | Exemple de valeur retournée |
|---|---|---|---|
| CveId | String | Identificateur unique affecté à la vulnérabilité de sécurité sous le système CVE (Common Vulnerabilities and Exposures). | CVE-2020-15992 |
| CvssScore | Double | Score CVSS du CVE. | 6.2 |
| DeviceId | String | Identificateur unique de l’appareil dans le service. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | String | Nom de domaine complet (FQDN) de l’appareil. | johnlaptop.europe.contoso.com |
| DiskPaths | Array[string] | Preuve de disque indiquant que le produit est installé sur l’appareil. | ["C :\Program Files (x86)\Microsoft\Silverlight\Application\silverlight.exe"] |
| ExploitabilityLevel | String | Niveau d’exploitabilité de cette vulnérabilité (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| FirstSeenTimestamp | String | La première fois que ce cve de produit a été vu sur l’appareil. | 2020-11-03 10:13:34.8476880 |
| ID | String | Identificateur unique de l’enregistrement. | 123ABG55_573AG&mnp ! |
| LastSeenTimestamp | String | Dernière fois que le logiciel a été signalé sur l’appareil. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | String | Plateforme du système d’exploitation en cours d’exécution sur l’appareil. Cette propriété indique des systèmes d’exploitation spécifiques avec des variantes au sein de la même famille, telles que Windows 10 et Windows 11. Pour plus d’informations, consultez Gestion des vulnérabilités Microsoft Defender systèmes d’exploitation et plateformes pris en charge. | Windows10 et Windows 11 |
| RbacGroupName | String | Groupe de contrôle d’accès en fonction du rôle (RBAC). Si cet appareil n’est affecté à aucun groupe RBAC, la valeur est « Non affecté ». Si le organization ne contient aucun groupe RBAC, la valeur est « None ». | Serveurs |
| RecommendationReference | String | Référence à l’ID de recommandation lié à ce logiciel. | va--microsoft--silverlight |
| RecommendedSecurityUpdate (facultatif) | String | Nom ou description de la mise à jour de sécurité fournie par le fournisseur de logiciels pour résoudre la vulnérabilité. | Mises à jour sécurité d’avril 2020 |
| RecommendedSecurityUpdateId (facultatif) | String | Identificateur des mises à jour de sécurité applicables ou identificateur pour les articles d’aide ou de base de connaissances (Ko) correspondants | 4550961 |
| RegistryPaths | Array[string] | Preuve du Registre indiquant que le produit est installé sur l’appareil. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftSilverlight"] |
| SecurityUpdateAvailable | Booléen | Indique si une mise à jour de sécurité est disponible pour le logiciel. | Les valeurs possibles sont true ou false. |
| SoftwareName | String | Nom du produit logiciel. | Chrome |
| SoftwareVendor | String | Nom du fournisseur de logiciels. | |
| SoftwareVersion | String | Numéro de version du produit logiciel. | 81.0.4044.138 |
| VulnerabilitySeverityLevel | String | Niveau de gravité affecté à la vulnérabilité de sécurité en fonction du score CVSS. | Moyen |
1.6 Exemples
1.6.1 Exemple de requête
GET https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pageSize=5
1.6.2 Exemple de réponse
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetVulnerability)",
"value": [
{
"id": "00044f612345baf759462dbe6db733b6a9c59ab4_edge_10.0.17763.1637__",
"deviceId": "00044f612345daf756462bde6bd733b9a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2de2f5ea3142726e63f16a.DomainPII_21eeb80d089e79bdfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "edge",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-edge",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462bde6db733b9a9c56ad4_.net_framework_4.0.0.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ad4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eeb80b086e79bdfa178eabfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": ".net_framework",
"softwareVersion": "4.0.0.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"SOFTWARE\\Microsoft\\NET Framework Setup\\NDP\\v4.0\\Client\\Install"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-.net_framework",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462dbe6db733d6a9c59ab4_system_center_2012_endpoint_protection_4.10.209.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eed80b089e79bdfa178eadfa25e8be6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "system_center_2012_endpoint_protection",
"softwareVersion": "4.10.209.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Microsoft Security Client"
],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-system_center_2012_endpoint_protection",
"securityUpdateAvailable": true
},
{
"id": "00044f612345bdaf759462dbe6bd733b6a9c59ab4_onedrive_20.245.1206.2__",
"deviceId": "00044f91234daf759492dbe6bd733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_189663d45612eed224b2be2f5ea3142729e63f16a.DomainPII_21eed80b086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.245.1206.2",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2944539346-1310925172-2349113062-1001\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"securityUpdateAvailable": true
},
{
"id": "00044f912345daf759462bde6db733b6a9c56ab4_windows_10_10.0.17763.1637__",
"deviceId": "00044f912345daf756462dbe6db733d6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eeb224d2be2f5ea3142729e63f16a.DomainPII_21eeb80d086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "windows_10" "Windows_11",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-windows_10" "va-_-microsoft-_-windows_11",
"securityUpdateAvailable": true
}
],
"@odata.nextLink": "https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}
2. Exporter l’évaluation des vulnérabilités logicielles (via des fichiers)
2.1 Description de la méthode d’API
Cette réponse d’API contient toutes les données des logiciels installés par appareil. Retourne une table avec une entrée pour chaque combinaison unique de DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CVEID.
2.1.2 Limitations
Les limitations de débit pour cette API sont de 5 appels par minute et de 20 appels par heure.
2.2 Autorisations
L’une des autorisations suivantes est nécessaire pour appeler cette API. Pour en savoir plus, notamment sur le choix des autorisations, consultez Utiliser les API Microsoft Defender pour point de terminaison pour plus d’informations.
| Type d’autorisation | Autorisation | Nom complet de l’autorisation |
|---|---|---|
| Application | Vulnerability.Read.All | « Lire les informations sur les vulnérabilités de gestion des menaces et des vulnérabilités » |
| Déléguée (compte professionnel ou scolaire) | Vulnerability.Read | « Lire les informations sur les vulnérabilités de gestion des menaces et des vulnérabilités » |
2.3 URL
GET /api/machines/SoftwareVulnerabilitiesExport
2.4 Paramètres
-
sasValidHours: nombre d’heures pendant lesquelles les URL de téléchargement sont valides. La durée maximale est de 6 heures.
2.5 Propriétés
Remarque
- Les fichiers sont compressés GZIP & au format JSON multiligne.
- Les URL de téléchargement sont valides pendant 1 heure, sauf si le
sasValidHoursparamètre est utilisé. - Pour une vitesse de téléchargement maximale de vos données, vous pouvez vous assurer que vous effectuez le téléchargement à partir de la même région Azure que celle où résident vos données.
- Chaque enregistrement représente 1 Ko de données. Vous devez en tenir compte lorsque vous choisissez le paramètre pageSize approprié pour vous.
- Certaines colonnes supplémentaires peuvent être retournées dans la réponse. Ces colonnes sont temporaires et peuvent être supprimées. Utilisez donc uniquement les colonnes documentées.
| Propriété (ID) | Type de données | Description | Exemple de valeur retournée |
|---|---|---|---|
| Exporter des fichiers | array[string] | Liste des URL de téléchargement des fichiers contenant le instantané actuel du organization. | ["https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...1", "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...2"] |
| GeneratedTime | String | Heure à laquelle l’exportation a été générée. | 2021-05-20T08:00:00Z |
2.6 Exemples
2.6.1 Exemple de demande
GET https://api-us.securitycenter.contoso.com/api/machines/SoftwareVulnerabilitiesExport
2.6.2 Exemple de réponse
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles": [
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c000.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c001.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c002.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=..."
],
"generatedTime": "2021-01-11T11:01:00Z"
}
3. Évaluation des vulnérabilités logicielles d’exportation Delta (réponse JSON)
3.1 Description de la méthode d’API
Retourne une table avec une entrée pour chaque combinaison unique de DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId. L’API extrait les données de votre organization sous forme de réponses Json. La réponse étant paginée, vous pouvez utiliser le @odata.nextLink champ de la réponse pour extraire les résultats suivants. Contrairement à l’évaluation complète des vulnérabilités logicielles (réponse JSON), qui est utilisée pour obtenir une instantané complète de l’évaluation des vulnérabilités logicielles de votre organization par appareil, l’appel d’API de réponse JSON d’exportation delta est utilisé pour extraire uniquement les modifications qui se sont produites entre une date sélectionnée et la date actuelle (l’appel d’API « delta »). Au lieu d’obtenir une exportation complète avec une grande quantité de données à chaque fois, vous obtenez uniquement des informations spécifiques sur les vulnérabilités nouvelles, corrigées et mises à jour. L’appel d’API de réponse JSON d’exportation Delta peut également être utilisé pour calculer différents indicateurs de performance clés, par exemple « combien de vulnérabilités ont été corrigées ? » ou « combien de nouvelles vulnérabilités ont été ajoutées à mon organization ? »
Remarque
Nous actualisons l’évaluation complète des vulnérabilités logicielles (Va plate/complète) par l’exportation d’appareil toutes les six heures et stockons chaque instantané dans le stockage d’objets blob . L’API fournit toujours les dernières instantané, pour souligner que l’appel du point de terminaison get ne déclenche pas de génération, l’appel de get endpoint lit simplement la dernière version de Flat OR Delta After sinceTime. Une réussite de l’exportation complète de l’va déclenche l’exportation delta qui capture les modifications de la dernière va plate traitée par Delta vers la nouvelle va plate.
Doublons délimités au contrôle d’accès en fonction du rôle Étant donné que les exportations sont délimitées par RBACGroup, un appareil qui passe d’un groupe RBAC à un autre apparaît deux fois dans une exportation Delta lorsque vous interrogez avec la vue globale (
RBACGroup=*) : une fois sous son groupe précédent avec status « Fixe » et une fois sous son groupe actuel avec status « Nouveau ». Utilisez lesrbacGroupIdidentificateurs d’appareil et ensemble (ou dédupliquez de votre côté) si vous avez besoin d’un seul enregistrement faisant autorité par appareil.
Modèle d’extraction recommandé
Base de référence : téléchargez l’exportation COMPLÈTE DE (VA plate) selon votre cadence préférée (une fois par semaine est souvent suffisante).
Restez à jour : exportation delta entre des instantanés complets (Delta peut être interrogé jusqu’à 14 jours dans le passé).
Gérer les déplacements RBAC : lors du traitement d’un delta, dédupliquez les entrées où la même
Id(deviceId_software_version _ cve)apparaît sous plusieursrbacGroupIdvaleurs.Lorsque « Status » = Fix » la calcualtion de « EventTimestamp » - « FirstSeenTimestamp » doit vous donner une estimation du moment où le CVE a été corrigé jusqu’à une granularité de 6 heures (en raison de l’intervalle d’exécution du Worker Delta).
3.1.1 Limitations
- La taille maximale de la page est de 200 000.
- Le paramètre sinceTime a un maximum de 14 jours.
- Les limitations de débit pour cette API sont de 30 appels par minute et de 1 000 appels par heure.
3.2 Autorisations
L’une des autorisations suivantes est nécessaire pour appeler cette API. Pour en savoir plus, notamment sur le choix des autorisations, consultez Utiliser les API Microsoft Defender pour point de terminaison pour plus d’informations.
| Type d’autorisation | Autorisation | Nom complet de l’autorisation |
|---|---|---|
| Application | Vulnerability.Read.All | « Lire les informations sur les vulnérabilités de gestion des menaces et des vulnérabilités » |
| Déléguée (compte professionnel ou scolaire) | Vulnerability.Read | « Lire les informations sur les vulnérabilités de gestion des menaces et des vulnérabilités » |
URL 3.3
GET /api/machines/SoftwareVulnerabilityChangesByMachine
3.4 Paramètres
- sinceTime (obligatoire) : heure de début à partir de laquelle vous souhaitez voir les modifications de données. La gestion des vulnérabilités génère des données sur les vulnérabilités nouvelles et mises à jour toutes les 6 heures. Les données retournées incluent toutes les modifications capturées au cours de la période de 6 heures dans laquelle se situe le sinceTime spécifié, ainsi que les modifications dans les périodes de 6 heures suivantes jusqu’à et y compris les données les plus récemment générées.
- pageSize (valeur par défaut = 50 000) : nombre de résultats en réponse.
- $top : nombre de résultats à retourner (ne retourne @odata.nextLink pas et n’extrait donc pas toutes les données).
3.5 Propriétés
Chaque enregistrement retourné contient toutes les données de l’évaluation complète des vulnérabilités logicielles d’exportation par API d’appareil, ainsi que deux autres champs : EventTimestamp et Status.
Remarque
- D’autres colonnes peuvent être retournées dans la réponse. Ces colonnes sont temporaires et peuvent être supprimées. Utilisez donc uniquement les colonnes documentées.
- Les propriétés définies dans le tableau suivant sont répertoriées par ordre alphabétique, par ID de propriété. Lors de l’exécution de cette API, la sortie résultante n’est pas nécessairement retournée dans le même ordre que celui indiqué dans cette table.
| Propriété (ID) | Type de données | Description | Exemple de valeur retournée |
|---|---|---|---|
| CveId | String | Identificateur unique affecté à la vulnérabilité de sécurité sous le système CVE (Common Vulnerabilities and Exposures). | CVE-2020-15992 |
| CvssScore | Double | Score CVSS du CVE. | 6.2 |
| DeviceId | String | Identificateur unique de l’appareil dans le service. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | String | Nom de domaine complet (FQDN) de l’appareil. | johnlaptop.europe.contoso.com |
| DiskPaths | Array[string] | Preuve de disque indiquant que le produit est installé sur l’appareil. | ["C :\Program Files (x86)\Microsoft\Silverlight\Application\silverlight.exe"] |
| EventTimestamp | String | Heure à laquelle cet événement delta a été trouvé. | 2020-11-03 10:13:34.8476880 |
| ExploitabilityLevel | String | Niveau d’exploitabilité de cette vulnérabilité (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| IsOnboarded | Booléen | Indique si un appareil est intégré ou non. | Les valeurs possibles sont true ou false. |
| FirstSeenTimestamp | String | La première fois que le CVE de ce produit a été vu sur l’appareil. | 2020-11-03 10:13:34.8476880 |
| ID | String | Identificateur unique de l’enregistrement. | 123ABG55_573AG&mnp ! |
| LastSeenTimestamp | String | Dernière fois que le logiciel a été signalé sur l’appareil. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | String | Plateforme du système d’exploitation s’exécutant sur l’appareil ; systèmes d’exploitation spécifiques avec des variantes au sein de la même famille, comme Windows 10 et Windows 11. Pour plus d’informations, consultez Gestion des vulnérabilités Microsoft Defender systèmes d’exploitation et plateformes pris en charge. | Windows10 et Windows 11 |
| RbacGroupName | String | Groupe de contrôle d’accès en fonction du rôle (RBAC). Si cet appareil n’est affecté à aucun groupe RBAC, la valeur est « Non affecté ». | Serveurs |
| RecommendationReference | string | Référence à l’ID de recommandation lié à ce logiciel. | va--microsoft--silverlight |
| RecommendedSecurityUpdate | String | Nom ou description de la mise à jour de sécurité fournie par le fournisseur de logiciels pour résoudre la vulnérabilité. | Mises à jour sécurité d’avril 2020 |
| RecommendedSecurityUpdateId | String | Identificateur des mises à jour de sécurité applicables ou identificateur pour les articles d’aide ou de base de connaissances (Ko) correspondants | 4550961 |
| RegistryPaths | Array[string] | Preuve du Registre indiquant que le produit est installé sur l’appareil. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome"] |
| SoftwareName | String | Nom du produit logiciel. | Chrome |
| SoftwareVendor | String | Nom du fournisseur de logiciels. | |
| SoftwareVersion | String | Numéro de version du produit logiciel. | 81.0.4044.138 |
| Statut | String | Nouveau (pour une nouvelle vulnérabilité introduite sur un appareil) (1) Correction (si cette vulnérabilité n’existe plus sur l’appareil, ce qui signifie qu’elle a été corrigée). (2) Mise à jour (si une vulnérabilité sur un appareil a changé. Les modifications possibles sont les suivantes : score CVSS, niveau d’exploitabilité, niveau de gravité, DiskPaths, RegistryPaths, RecommendedSecurityUpdate). | Fixed |
| VulnerabilitySeverityLevel | String | Niveau de gravité affecté à la vulnérabilité de sécurité et basé sur le score CVSS. | Moyen |
Clarifications
Si le logiciel a été mis à jour de la version 1.0 vers la version 2.0 et que les deux versions sont exposées à CVE-A, vous recevez deux événements distincts :
- Correction : CVE-A sur la version 1.0 a été corrigé.
- Nouveau : CVE-A sur la version 2.0 a été ajoutée.
Si une vulnérabilité spécifique (par exemple, CVE-A) a été détectée pour la première fois à un moment spécifique (par exemple, le 10 janvier) sur un logiciel avec la version 1.0, et quelques jours plus tard que ce logiciel a été mis à jour vers la version 2.0 qui était également exposée au même CVE-A, vous recevez ces deux événements séparés :
- Correction : CVE-X, FirstSeenTimestamp 10 janvier, version 1.0.
- Nouveau : CVE-X, FirstSeenTimestamp 10 janvier, version 2.0.
3.6 Exemples
3.6.1 Exemple de requête
GET https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilityChangesByMachine?pageSize=5&sinceTime=2021-05-19T18%3A35%3A49.924Z
3.6.2 Exemple de réponse
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.DeltaAssetVulnerability)",
"value": [
{
"id": "008198251234544f7dfa715e278d4cec0c16c171_chrome_87.0.4280.88__",
"deviceId": "008198251234544f7dfa715e278b4cec0c19c171",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_1c8fee370690ca24b6a0d3f34d193b0424943a8b8.DomainPII_0dc1aee0fa366d175e514bd91a9e7a5b2b07ee8e.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "87.0.4280.88",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Google Chrome"
],
"lastSeenTimestamp": "2021-01-04 00:29:42",
"firstSeenTimestamp": "2020-11-06 03:12:44",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "00e59c61234533860738ecf488eec8abf296e41e_onedrive_20.64.329.3__",
"deviceId": "00e56c91234533860738ecf488eec8abf296e41e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_82c13a8ad8cf3dbaf7bf34fada9fa3aebc124116.DomainPII_21eeb80d086e79dbfa178eadfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.64.329.3",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2127521184-1604012920-1887927527-24918864\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-11 19:49:48",
"firstSeenTimestamp": "2020-12-07 18:25:47",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "01aa8c73095bb12345918663f3f94ce322107d24_firefox_83.0.0.0_CVE-2020-26971_",
"deviceId": "01aa8c73065bb12345918693f3f94ce322107d24",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_42684eb981bea2d670027e7ad2caafd3f2b381a3.DomainPII_21eed80b086e76dbfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "mozilla",
"softwareName": "firefox",
"softwareVersion": "83.0.0.0",
"cveId": "CVE-2020-26971",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "193220",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Mozilla Firefox 83.0 (x86 en-US)"
],
"lastSeenTimestamp": "2021-01-05 17:04:30",
"firstSeenTimestamp": "2020-05-06 12:42:19",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-mozilla-_-firefox",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "026f0fcb12345fbd2decd1a339702131422d362e_project_16.0.13701.20000__",
"deviceId": "029f0fcb13245fbd2decd1a336702131422d392e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_a5706750acba75f15d69cd17f4a7fcd268d6422c.DomainPII_f290e982685f7e8eee168b4332e0ae5d2a069cd6.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "project",
"softwareVersion": "16.0.13701.20000",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\ProjectProRetail - en-us"
],
"lastSeenTimestamp": "2021-01-03 23:38:03",
"firstSeenTimestamp": "2019-08-01 22:56:12",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-project",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "038df381234510b357ac19d0113ef622e4e212b3_chrome_81.0.4044.138_CVE-2020-16011_",
"deviceId": "038df381234510d357ac19b0113ef922e4e212b3",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596a43a2ef2bbfa00f6a16c0cb1d108bc63e32.DomainPII_3c5fefd2e6fda2f36257359404f6c1092aa6d4b8.net",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "81.0.4044.138",
"cveId": "CVE-2020-16011",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "ADV 200002",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{C4EBFDFD-0C55-3E5F-A919-E3C54949024A}"
],
"lastSeenTimestamp": "2020-12-10 22:45:41",
"firstSeenTimestamp": "2020-07-26 02:13:43",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
}
],
"@odata.nextLink": "https://wpatdadi-eus-stg.cloudapp.net/api/machines/SoftwareVulnerabilitiesTimeline?sincetime=2021-01-11&pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}
Voir aussi
- Exporter des méthodes et des propriétés d’évaluation par appareil
- Exporter l’évaluation de la configuration sécurisée par appareil
- Exporter l’évaluation de l’inventaire logiciel par appareil
- Gestion des vulnérabilités Microsoft Defender
- Vulnérabilités dans votre organization
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.