Type de ressource MachineAction
S’applique à :
- .. /microsoft-defender-endpoint.md
- .. /microsoft-defender-endpoint.md
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Remarque
Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.
Conseil
Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
- api-au.securitycenter.microsoft.com
- Pour plus d’informations, consultez Actions de réponse.
Méthode | Type renvoyé | Description |
---|---|---|
Répertorier les MachineActions | Action de l’ordinateur | Répertorier les entités Machine Action . |
Obtenir MachineAction | Action de l’ordinateur | Obtenir une seule entité Machine Action . |
Collecter un package d’examen | Action de l’ordinateur | Collecter le package d’investigation à partir d’une machine. |
Obtenir SAS de l’URI du package d’examen | Action de l’ordinateur | Obtenir l’URI pour télécharger le package d’investigation. |
Isoler l’ordinateur | Action de l’ordinateur | Isolez l’ordinateur du réseau. |
Libérer la machine de l’isolation | Action de l’ordinateur | Libérez l’ordinateur de Isolation. |
Restreindre l’exécution des applications | Action de l’ordinateur | Restreindre l’exécution de l’application. |
Supprimer la restriction des applications | Action de l’ordinateur | Supprimez la restriction d’exécution de l’application. |
Exécuter une analyse antivirus | Action de l’ordinateur | Exécutez une analyse AV à l’aide de Windows Defender (le cas échéant). |
Retirer un ordinateur | Action de l’ordinateur | Désintégrer la machine de Microsoft Defender pour point de terminaison. |
Arrêt et fichier mis en quarantaine | Action de l’ordinateur | Arrêtez l’exécution d’un fichier sur une machine et supprimez-le. |
Exécuter la réponse en direct | Action de l’ordinateur | Exécute une séquence de commandes de réponse en direct sur un appareil |
Obtenir le résultat de la réponse en direct | Entité URL | Récupère le lien de téléchargement du résultat de la commande de réponse dynamique spécifique par son index. |
Annuler l’action de l’ordinateur | Action de l’ordinateur | Annuler une action de machine active. |
Propriétés
Propriété | Type | Description |
---|---|---|
ID | Guid | Identité de l’entité Machine Action . |
type | Énum | Type de l’action. Les valeurs possibles sont , RunAntiVirusScan Offboard , LiveResponse , CollectInvestigationPackage , Isolate Unisolate , StopAndQuarantineFile , RestrictCodeExecution , et UnrestrictCodeExecution . |
étendue | string | Étendue de l’action. Full ou Selective pour Isolation, Quick ou Full pour l’analyse antivirus. |
Demandeur | Chaîne | Identité de la personne qui a exécuté l’action. |
externalID | Chaîne | ID que le client peut envoyer dans la demande de corrélation personnalisée. |
requestSource | string | Nom de l’utilisateur/de l’application qui a envoyé l’action. |
Commandes | tableau | Commandes à exécuter. Les valeurs autorisées sont PutFile, RunScript, GetFile. |
cancellationRequestor | Chaîne | Identité de la personne qui a annulé l’action. |
requestorComment | Chaîne | Commentaire écrit lors de l’émission de l’action. |
cancellationComment | Chaîne | Commentaire écrit lors de l’annulation de l’action. |
status | Énum | Status actuelle de la commande. Les valeurs possibles sont , Pending InProgress , Succeeded , Failed TimeOut , et Cancelled . |
machineId | Chaîne | ID de la machine sur laquelle l’action a été exécutée. |
computerDnsName | Chaîne | Nom de la machine sur laquelle l’action a été exécutée. |
creationDateTimeUtc | DateTimeOffset | Date et heure de création de l’action. |
cancellationDateTimeUtc | DateTimeOffset | Date et heure auxquelles l’action a été annulée. |
lastUpdateDateTimeUtc | DateTimeOffset | Date et heure de la dernière mise à jour de l’action status. |
title | Chaîne | Titre de l’action de la machine. |
relatedFileInfo | Classe | Contient deux propriétés. string fileIdentifier , Énumérez fileIdentifierType avec les valeurs possibles : Sha1 , Sha256 et Md5 . |
Représentation Json
{
"id": "5382f7ea-7557-4ab7-9782-d50480024a4e",
"type": "Isolate",
"scope": "Selective",
"requestor": "Analyst@TestPrd.onmicrosoft.com",
"requestorComment": "test for docs",
"status": "Succeeded",
"machineId": "7b1f4967d9728e5aa3c06a9e617a22a4a5a17378",
"computerDnsName": "desktop-test",
"creationDateTimeUtc": "2019-01-02T14:39:38.2262283Z",
"lastUpdateDateTimeUtc": "2019-01-02T14:40:44.6596267Z",
"relatedFileInfo": null
}
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour