Type de ressource MachineAction
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Remarque
Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.
Conseil
Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- Pour plus d’informations, consultez Actions de réponse.
| Méthode | Type renvoyé | Description |
|---|---|---|
| Répertorier les MachineActions | Action de l’ordinateur | Répertorier les entités Machine Action . |
| Obtenir MachineAction | Action de l’ordinateur | Obtenir une seule entité Machine Action . |
| Collecter un package d’examen | Action de l’ordinateur | Collecter le package d’investigation à partir d’une machine. |
| Obtenir SAS de l’URI du package d’examen | Action de l’ordinateur | Obtenir l’URI pour télécharger le package d’investigation. |
| Isoler l’ordinateur | Action de l’ordinateur | Isolez l’ordinateur du réseau. |
| Libérer la machine de l’isolation | Action de l’ordinateur | Libérez l’ordinateur de Isolation. |
| Restreindre l’exécution des applications | Action de l’ordinateur | Restreindre l’exécution de l’application. |
| Supprimer la restriction des applications | Action de l’ordinateur | Supprimez la restriction d’exécution de l’application. |
| Exécuter une analyse antivirus | Action de l’ordinateur | Exécutez une analyse AV à l’aide de Windows Defender (le cas échéant). |
| Retirer un ordinateur | Action de l’ordinateur | Désintégrer la machine de Microsoft Defender pour point de terminaison. |
| Arrêt et fichier mis en quarantaine | Action de l’ordinateur | Arrêtez l’exécution d’un fichier sur une machine et supprimez-le. |
| Exécuter la réponse en direct | Action de l’ordinateur | Exécute une séquence de commandes de réponse en direct sur un appareil |
| Obtenir le résultat de la réponse en direct | Entité URL | Récupère le lien de téléchargement du résultat de la commande de réponse dynamique spécifique par son index. |
| Annuler l’action de l’ordinateur | Action de l’ordinateur | Annuler une action de machine active. |
Propriétés
| Propriété | Type | Description |
|---|---|---|
| ID | Guid | Identité de l’entité Machine Action . |
| type | Énum | Type de l’action. Les valeurs possibles sont , RunAntiVirusScanOffboard, LiveResponse, CollectInvestigationPackage, IsolateUnisolate, StopAndQuarantineFile, RestrictCodeExecution, et UnrestrictCodeExecution. |
| étendue | chaîne | Étendue de l’action.
Full ou Selective pour Isolation, Quick ou Full pour l’analyse antivirus. |
| Demandeur | Chaîne | Identité de la personne qui a exécuté l’action. |
| externalID | Chaîne | ID que le client peut envoyer dans la demande de corrélation personnalisée. |
| requestSource | chaîne | Nom de l’utilisateur/de l’application qui a envoyé l’action. |
| Commandes | tableau | Commandes à exécuter. Les valeurs autorisées sont PutFile, RunScript, GetFile. |
| cancellationRequestor | Chaîne | Identité de la personne qui a annulé l’action. |
| requestorComment | Chaîne | Commentaire écrit lors de l’émission de l’action. |
| cancellationComment | Chaîne | Commentaire écrit lors de l’annulation de l’action. |
| status | Énum | État actuel de la commande. Les valeurs possibles sont , PendingInProgress, Succeeded, FailedTimeOut, et Cancelled. |
| machineId | Chaîne | ID de la machine sur laquelle l’action a été exécutée. |
| computerDnsName | Chaîne | Nom de la machine sur laquelle l’action a été exécutée. |
| creationDateTimeUtc | DateTimeOffset | Date et heure de création de l’action. |
| cancellationDateTimeUtc | DateTimeOffset | Date et heure auxquelles l’action a été annulée. |
| lastUpdateDateTimeUtc | DateTimeOffset | Date et heure de la dernière mise à jour de l’état de l’action. |
| title | Chaîne | Titre de l’action de la machine. |
| relatedFileInfo | Classe | Contient deux propriétés. string fileIdentifier, Énumérez fileIdentifierType avec les valeurs possibles : Sha1, Sha256et Md5. |
Représentation Json
{
"id": "5382f7ea-7557-4ab7-9782-d50480024a4e",
"type": "Isolate",
"scope": "Selective",
"requestor": "Analyst@TestPrd.onmicrosoft.com",
"requestorComment": "test for docs",
"status": "Succeeded",
"machineId": "7b1f4967d9728e5aa3c06a9e617a22a4a5a17378",
"computerDnsName": "desktop-test",
"creationDateTimeUtc": "2019-01-02T14:39:38.2262283Z",
"lastUpdateDateTimeUtc": "2019-01-02T14:40:44.6596267Z",
"relatedFileInfo": null
}
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.