Biztonsági alapkonfigurációk értékelésének exportálása eszközönként

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender biztonságirés-kezelése
• Microsoft Defender XDR

Szeretne Microsoft Defender biztonságirés-kezelés tapasztalni? További információ arról, hogyan regisztrálhat a Microsoft Defender biztonságirés-kezelés nyilvános előzetes verziójára.

Különböző API-hívások vannak a különböző típusú adatok lekéréséhez. Általánosságban elmondható, hogy minden API-hívás tartalmazza a szervezet eszközeihez szükséges adatokat.

• JSON-válasz Az API JSON-válaszokként lekéri a szervezet összes adatát. Ez a módszer a 100 K-nál kisebb eszközökkel rendelkező kis szervezetek számára ajánlott. A válasz lapszámozott, így a válasz @odata.nextLink mezőjével lekérheti a következő eredményeket.

• fájlokon keresztül Ez az API-megoldás nagyobb mennyiségű adat gyorsabb és megbízhatóbb lekérését teszi lehetővé. Ezért a 100 K-nál több eszközzel rendelkező nagy szervezetek számára ajánlott. Ez az API lekéri a szervezet összes adatát letöltési fájlokként. A válasz URL-címeket tartalmaz az összes adat Azure Storage-ból való letöltéséhez. Az Azure Storage-ból az alábbi módon tölthet le adatokat:

  • Hívja meg az API-t a letöltési URL-címek listájának lekéréséhez az összes szervezeti adattal.
  • Töltse le az összes fájlt a letöltési URL-címekkel, és tetszés szerint dolgozza fel az adatokat.

A "JSON-válasz vagy fájlok" használatával gyűjtött adatok az aktuális állapot aktuális pillanatképei. Nem tartalmaz előzményadatokat. Az előzményadatok gyűjtéséhez az ügyfeleknek a saját adattárukban kell menteniük az adatokat.

Megjegyzés:

Ha másként nem jelezzük, a felsorolt összes exportálási biztonsági alapkonfiguráció-értékelési módszer teljes exportálás és eszköz ( más néven eszközönként)

1. Biztonsági alapkonfigurációk értékelésének exportálása (JSON-válasz)

1.1 API-metódus leírása

Az összes eszközre vonatkozó összes biztonsági alapkonfiguráció-értékelést adja vissza eszközönként. Egy külön bejegyzést tartalmazó táblát ad vissza a DeviceId, a ProfileId és a ConfigurationId összes egyedi kombinációjához.

1.2 Engedélyek

Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata.

Engedély típusa	Engedély	Engedély megjelenítendő neve
Alkalmazás	SecurityBaselinesAssessment.Read.All	"Az összes biztonsági alapkonfiguráció értékelési információjának olvasása"
Delegált (munkahelyi vagy iskolai fiók)	SecurityBaselinesAssessment.Read	"Biztonsági alapkonfigurációk értékelési adatainak olvasása"

1.3 Korlátozások

• A maximális oldalméret 200 000.
• Az API sebességkorlátozásai percenként 30 hívás, óránként 1000 hívás.

1.4 Paraméterek

• pageSize (alapértelmezett = 50 000): A válaszban szereplő eredmények száma.
• $top: A visszaadandó eredmények száma (nem ad vissza @odata.nextLink , így nem kér le minden adatot).

1.5 HTTP-kérés

GET /api/machines/baselineComplianceAssessmentByMachine

1.6 Tulajdonságok (JSON-válasz)

Megjegyzés:

Minden rekord körülbelül 1 KB adatot jelent. Ezt figyelembe kell vennie a megfelelő pageSize paraméter kiválasztásakor.

A válaszban további oszlopok is megjelenhetnek. Ezek az oszlopok ideiglenesek, és eltávolíthatók. Csak a dokumentált oszlopokat használja.

Az alábbi táblázatban definiált tulajdonságok a tulajdonságazonosító alapján betűrendben vannak felsorolva. Az API futtatásakor az eredményül kapott kimenet nem feltétlenül az ebben a táblázatban felsorolt sorrendben lesz visszaadva.

Tulajdonság (azonosító)	Adattípus	Leírás
configurationId	Karakterlánc	Az alapkonfiguráció adott konfigurációjának egyedi azonosítója.
profileId	Karakterlánc	Az értékelt profil egyedi azonosítója.
deviceId	Karakterlánc	A szolgáltatásban lévő eszköz egyedi azonosítója.
deviceName	Karakterlánc	Az eszköz teljes tartományneve (FQDN).
isApplicable	Logikai	Azt jelzi, hogy a konfiguráció alkalmazható-e erre az eszközre.
isCompliant	Logikai	Azt jelzi, hogy az eszköz megfelel-e a konfigurációnak.
id	Karakterlánc	A rekord egyedi azonosítója, amely a DeviceId, a ProfileId és a ConfigurationId kombinációja.
osVersion	Karakterlánc	Az eszközön futó operációs rendszer adott verziója.
osPlatform	Karakterlánc	Az eszközön futó operációsrendszer-platform. Adott operációs rendszerek, amelyek ugyanazon családon belül különböző változatokkal rendelkeznek, például Windows 10 és Windows 11. Részletekért lásd: MDVM által támogatott operációs rendszerek és platformok .
rbacGroupId	Int	A szerepköralapú hozzáférés-vezérlés (RBAC) csoportazonosítója. Ha az eszköz nincs hozzárendelve egyetlen RBAC-csoporthoz sem, az érték "Nincs hozzárendelve". Ha a szervezet nem tartalmaz RBAC-csoportokat, az érték "Nincs" lesz.
rbacGroupName	Karakterlánc	A szerepköralapú hozzáférés-vezérlési (RBAC) csoport. Ha az eszköz nincs hozzárendelve egyetlen RBAC-csoporthoz sem, az érték "Nincs hozzárendelve". Ha a szervezet nem tartalmaz RBAC-csoportokat, az érték "Nincs" lesz.
DataCollectionTimeOffset	DateTime	Az adatok eszközről való gyűjtésének időpontja. Előfordulhat, hogy ez a mező nem jelenik meg, ha nem gyűjtött adatokat.
ComplianceCalculationTimeOffset	DateTime	Az értékelés számításának időpontja.
Ajánlott érték	Karakterlánc	A reklamációra váró eszközbeállítás várható értékeinek halmaza.
CurrentValue	Karakterlánc	Az eszközön talált észlelt értékek halmaza.
Source (Forrás)	Karakterlánc	Az aktuális eszközbeállítás meghatározásához használt beállításjegyzékbeli elérési út vagy más hely.

1.7 Példa

1.7.1 Példa kérésre

GET https://api.securitycenter.microsoft.com/api/machines/BaselineComplianceAssessmentByMachine

1.7.2 Példa válaszra

{
"@odata.context": " https://api.securitycenter.microsoft.com /api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetBaselineAssessment)",
"value": [
{
    "id": "0000682575d5d473e82ed4d8680425d152411251_9e1b90be-e83e-485b-a5ec-4a429412e734_1.1.1",
    "configurationId": "1.1.1",
    "deviceId": "0000682575d5d473242222425d152411251",
    "deviceName": " ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596 ",
    "profileId": "9e1b90be-e83e-485b-a5ec-4a429412e734",
    "osPlatform": "WindowsServer2019",
    "osVersion": "10.0.17763.2330",
    "rbacGroupId": 86,
    "rbacGroupName": "UnassignedGroup",
    "isApplicable": true,
    "isCompliant": false,
    "dataCollectionTimeOffset": "2021-12-22T00:08:02.478Z",
    "recommendedValue": [
                    "Greater than or equal '24'"
                ],
                "currentValue": [
                    "24"
                ],
                "source": [
                    "password_hist_len"
                ],
}

2. Biztonsági alapkonfigurációk értékelésének exportálása (fájlokon keresztül)

2.1 API-metódus leírása

Az összes eszközre vonatkozó összes biztonsági alapkonfiguráció-értékelést adja vissza eszközönként. Egy külön bejegyzést tartalmazó táblát ad vissza a DeviceId, a ProfileId és a ConfigurationId összes egyedi kombinációjához.

2.2 Korlátozások

• Az API sebességkorlátozásai percenként 5 hívás, óránként 20 hívás.

2.3 URL

GET /api/machines/BaselineComplianceAssessmentExport

2.4 Paraméterek

• sasValidHours: Az órák száma, amelyre a letöltési URL-címek érvényesek. A maximális idő 6 óra.

2.5 Tulajdonságok (fájlokon keresztül)

Megjegyzés:

• A fájlok GZIP tömörített & többsoros JSON formátumban.
• A letöltési URL-címek 1 óráig érvényesek, kivéve, ha a paramétert sasValidHours használja.
• A letöltési sebesség maximalizálása érdekében győződjön meg arról, hogy az adatokat ugyanarról az Azure-régióról tölti le, ahol az adatok találhatók.
• A válaszban további oszlopok is megjelenhetnek. Ezek az oszlopok ideiglenesek, és eltávolíthatók. Csak a dokumentált oszlopokat használja.

Tulajdonság (azonosító)	Adattípus	Leírás
Fájlok exportálása	tömb[sztring]	A szervezet aktuális pillanatképét tartalmazó fájlok letöltési URL-címeinek listája.
GeneratedTime	Karakterlánc	Az exportálás létrehozásának időpontja.

2.6 Példák

2.6.1 Példa kérésre

GET https://api.securitycenter.microsoft.com/api/machines/BaselineComplianceAssessmentExport

2.6.2 Példa válaszra

{
    "@odata.context": "https://api.securitycenter. contoso.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
    "exportFiles":
    [
    "https://tvmexportexternalstgeus.blob.core.windows.net/temp-1ebd3d09-d06a-4aad-ab80-ebc536cec61c/2021-12-22/0500/BaselineAssessmentExport/json/OrgId= OrgId=<Org Id>/_RbacGroupId=<Rbac Group Id>/part-00000-c09dfd00-2278-4735-b23a-71733751fcbc.c000.json.gz?sv=ABCD",
   "https://tvmexportexternalstgeus.blob.core.windows.net/temp-1ebd3d09-d06a-4aad-ab80-ebc536cec61c/2021-12-22/0500/BaselineAssessmentExport/json/OrgId=<Org Id>/_RbacGroupId=<Rbac Group Id>/part-00001-c09dfd00-2278-4735-b23a-71733751fcbc.c000.json.gz?sv= ABCD",
    ],
    "generatedTime": "2021-01-11T11:01:00Z"
}

Lásd még

• Biztonsági alapkonfigurációk értékelési profiljainak lekérése
• Biztonsági alapkonfigurációk értékelési konfigurációinak lekérése

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.