Obtenir les résultats de la réponse en direct

  • Article

S’applique à :

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Remarque

Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.

Conseil

Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Description de l’API

Récupère un résultat de commande de réponse dynamique spécifique par son index.

Limitations

  1. Les limitations de débit pour cette API sont de 100 appels par minute et de 1 500 appels par heure.

Configuration minimale requise

Avant de pouvoir lancer une session sur un appareil, vérifiez que vous remplissez les conditions suivantes :

Autorisations

L’une des autorisations suivantes est nécessaire pour appeler cette API. Pour en savoir plus, notamment sur le choix des autorisations, consultez Prise en main.

Type d’autorisation Autorisation Nom complet de l’autorisation
Application Machine.Read.All Lire tous les profils de machine
Application Machine.ReadWrite.All Lire et écrire toutes les informations de l’ordinateur
Déléguée (compte professionnel ou scolaire) Machine.LiveResponse Exécuter la réponse en direct sur un ordinateur spécifique

Requête HTTP

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

En-têtes de demande

Nom Type Description
Autorisation Chaîne Porteur {token}. Obligatoire.

Corps de la demande

Empty

Réponse

Si elle réussit, cette méthode retourne le code de réponse 200, Ok avec l’objet qui contient le lien vers la commande, résultat dans la propriété value . Ce lien est valide pendant 30 minutes et doit être utilisé immédiatement pour télécharger le package dans un stockage local. Un lien expiré peut être recréé par un autre appel, et il n’est pas nécessaire d’exécuter à nouveau la réponse en direct.

Propriétés de la transcription Runscript :

Propriété Description
script_name Nom du script exécuté
exit_code Code de sortie du script exécuté
script_output Sortie standard du script exécuté
script_errors Sortie d’erreur standard du script exécuté

Exemple

Exemple de requête

Voici un exemple de demande.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Exemple de réponse

Voici un exemple de réponse.

HTTP/1.1 200 Ok

Content-type : application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Contenu du fichier :

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.