Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Az eszközönkénti szoftveres biztonsági rések exportálásának lehetősége eszközenként visszaadja az összes ismert szoftveres biztonsági rést és azok részleteit az összes eszközre vonatkozóan. Ha másként nem jelezzük, a felsorolt összes exportálási értékelési módszer teljes exportálás és eszköz ( más néven eszközönkénti) használata.
A különböző API-hívások különböző típusú adatokat kapnak. Mivel az adatok mennyisége nagy lehet, háromféleképpen kérhető le:
Szoftver biztonsági réseinek exportálása – értékelés: JSON-válasz Az API JSON-válaszokként lekéri a szervezet összes adatát. Ez a módszer a 100 K-nál kisebb eszközökkel rendelkező kis szervezetek számára ajánlott. A válasz lapszámozott, így a válasz @odata.nextLink mezőjével lekérheti a következő eredményeket.
Szoftveres biztonsági rések felmérésének exportálása: fájlokon keresztül Ez az API-megoldás nagyobb mennyiségű adat gyorsabb és megbízhatóbb lekérését teszi lehetővé. A több mint 100 K-os eszközökkel rendelkező nagy szervezetek számára ajánlott a via-files használata. Ez az API lekéri a szervezet összes adatát letöltési fájlokként. A válasz URL-címeket tartalmaz az összes adat letöltéséhez Azure Storage-ból. Ez az API az alábbi módon teszi lehetővé az összes adat letöltését Azure Storage-ból:
- Hívja meg az API-t a letöltési URL-címek listájának lekéréséhez az összes szervezeti adattal.
- Töltse le az összes fájlt a letöltési URL-címekkel, és tetszés szerint dolgozza fel az adatokat.
Delta-exportálási szoftver biztonsági réseinek felmérése: JSON-válasz Egy olyan táblát ad vissza, amelynek minden egyedi kombinációja szerepel: DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId és EventTimestamp. Az API JSON-válaszokként kér le adatokat a szervezetből. A válasz lapszámozott, így a @odata.nextLink válasz mezője segítségével lekérheti a következő eredményeket.
A teljes "szoftveres biztonsági rések felmérése (JSON-válasz)" a szervezet szoftveres biztonsági réseinek eszköz szerinti felméréséről készült teljes pillanatkép lekérésére szolgál. A deltaexportálási API-hívással azonban csak a kiválasztott dátum és az aktuális dátum (a "delta" API-hívás) között történt módosítások kérhetőek le. Ahelyett, hogy minden alkalommal nagy mennyiségű adatot tartalmazó teljes exportálást kap, csak konkrét információkat kap az új, kijavított és frissített biztonsági résekkel kapcsolatban. A Delta exportálási JSON-válasz API-hívása különböző KPI-k kiszámítására is használható, például "hány biztonsági rés lett javítva?" vagy "hány új biztonsági rés lett hozzáadva a szervezetemhez?"
Mivel a Delta exportálási JSON-válasz API-hívása szoftveres biztonsági réseket keres, csak egy célzott dátumtartomány adatait adja vissza, nem tekinthető teljes exportálásnak.
A gyűjtött adatok ( JSON-válasz vagy fájlok használatával) az aktuális állapot aktuális pillanatképe. Nem tartalmaz előzményadatokat. Az előzményadatok gyűjtéséhez az ügyfeleknek a saját adattárukban kell menteniük az adatokat.
1. Szoftveres biztonsági rések felmérésének exportálása (JSON-válasz)
1.1 API-metódus leírása
Ez az API-válasz eszközönként tartalmazza a telepített szoftverek összes adatát. Egy táblát ad vissza a DeviceId, a SoftwareVendor, a SoftwareName, a SoftwareVersion és a CVEID minden egyedi kombinációjához.
1.1.1 Korlátozások
- A maximális oldalméret 200 000.
- Az API sebességkorlátozásai percenként 30 hívás és óránként 1000 hívás.
1.2 Engedélyek
Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata.
| Engedély típusa | Engedély | Engedély megjelenítendő neve |
|---|---|---|
| Alkalmazás | Vulnerability.Read.All | "Veszélyforrás- és biztonságirés-kezelési biztonságirés-információk olvasása" |
| Delegált (munkahelyi vagy iskolai fiók) | Biztonsági rés.Read | "Veszélyforrás- és biztonságirés-kezelési biztonságirés-információk olvasása" |
1.3 URL
GET /api/machines/SoftwareVulnerabilitiesByMachine
1.4 Paraméterek
- pageSize (alapértelmezett = 50 000): A válaszban szereplő eredmények száma.
- $top: A visszaadandó eredmények száma (nem ad vissza @odata.nextLink , így nem kér le minden adatot).
1.5 Tulajdonságok
- Minden rekord 1 KB adat. Ezt a méretet érdemes figyelembe vennie a megfelelő pageSize paraméter kiválasztásakor.
- Előfordulhat, hogy a válaszban más oszlopok is megjelennek. Ezek az oszlopok ideiglenesek, és eltávolíthatók, ezért csak a dokumentált oszlopokat használja.
- Az alábbi táblázatban definiált tulajdonságok betűrendben, tulajdonságazonosító szerint vannak felsorolva. Az API futtatásakor az eredményül kapott kimenet nem feltétlenül az ebben a táblázatban felsorolt sorrendben jelenik meg.
| Tulajdonság (azonosító) | Adattípus | Leírás | Példa visszaadott értékre |
|---|---|---|---|
| CveId | Karakterlánc | A közös biztonsági rések és kitettségek (CVE) rendszer biztonsági réséhez rendelt egyedi azonosító. | CVE-2020-15992 |
| CvssScore | Kétszeres | A CVE CVSS-pontszáma. | 6.2 |
| Deviceid | Karakterlánc | A szolgáltatásban lévő eszköz egyedi azonosítója. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | Karakterlánc | Az eszköz teljes tartományneve (FQDN). | johnlaptop.europe.contoso.com |
| DiskPaths | Tömb[sztring] | A lemez azt jelzi, hogy a termék telepítve van az eszközön. | ["C:\Program Files (x86)\Microsoft\Silverlight\Application\silverlight.exe"] |
| Biztonsági rés kiaknázása szint | Karakterlánc | A biztonsági rés kizsákmányolhatósági szintje (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| FirstSeenTimestamp | Karakterlánc | A termék CVE-jének első észlelése az eszközön. | 2020-11-03 10:13:34.8476880 |
| Azonosító | Karakterlánc | A rekord egyedi azonosítója. | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | Karakterlánc | A szoftver legutóbbi bejelentésének időpontja az eszközön. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | Karakterlánc | Az eszközön futó operációs rendszer platformja. Ez a tulajdonság azokat az operációs rendszereket jelöli, amelyek ugyanazon családon belüli változatokkal rendelkeznek, például Windows 10 és Windows 11. További információ: Microsoft Defender biztonságirés-kezelés támogatott operációs rendszerek és platformok. | Windows10 és Windows 11 |
| RbacGroupName | Karakterlánc | A szerepköralapú hozzáférés-vezérlési (RBAC) csoport. Ha az eszköz nincs hozzárendelve egyetlen RBAC-csoporthoz sem, az érték "Nincs hozzárendelve". Ha a szervezet nem tartalmaz RBAC-csoportokat, az érték "Nincs". | Kiszolgálók |
| RecommendationReference | Karakterlánc | A szoftverhez kapcsolódó javaslatazonosítóra mutató hivatkozás. | va--microsoft--silverlight |
| RecommendedSecurityUpdate (nem kötelező) | Karakterlánc | A szoftvergyártó által a biztonsági rés elhárításához megadott biztonsági frissítés neve vagy leírása. | 2020. áprilisi biztonsági Frissítések |
| RecommendedSecurityUpdateId (nem kötelező) | Karakterlánc | A vonatkozó biztonsági frissítések azonosítója vagy a vonatkozó útmutatók vagy tudásbázis (KB) cikkek azonosítója | 4550961 |
| RegistryPaths | Tömb[sztring] | A beállításjegyzék igazolja, hogy a termék telepítve van az eszközön. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftSilverlight"] |
| SecurityUpdateAvailable | Logikai | Azt jelzi, hogy elérhető-e biztonsági frissítés a szoftverhez. | A lehetséges értékek igaz vagy hamisak. |
| Szoftvernév | Karakterlánc | A szoftvertermék neve. | Chrome |
| SoftwareVendor | Karakterlánc | A szoftvergyártó neve. | |
| SoftwareVersion | Karakterlánc | A szoftvertermék verziószáma. | 81.0.4044.138 |
| VulnerabilitySeverityLevel | Karakterlánc | A biztonsági réshez rendelt súlyossági szint a CVSS-pontszám alapján. | Közepes |
1.6 Példák
1.6.1 Példa kérésre
GET https://api.security.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pageSize=5
1.6.2 Példa válaszra
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetVulnerability)",
"value": [
{
"id": "00044f612345baf759462dbe6db733b6a9c59ab4_edge_10.0.17763.1637__",
"deviceId": "00044f612345daf756462bde6bd733b9a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2de2f5ea3142726e63f16a.DomainPII_21eeb80d089e79bdfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "edge",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-edge",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462bde6db733b9a9c56ad4_.net_framework_4.0.0.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ad4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eeb80b086e79bdfa178eabfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": ".net_framework",
"softwareVersion": "4.0.0.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"SOFTWARE\\Microsoft\\NET Framework Setup\\NDP\\v4.0\\Client\\Install"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-.net_framework",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462dbe6db733d6a9c59ab4_system_center_2012_endpoint_protection_4.10.209.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eed80b089e79bdfa178eadfa25e8be6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "system_center_2012_endpoint_protection",
"softwareVersion": "4.10.209.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Microsoft Security Client"
],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-system_center_2012_endpoint_protection",
"securityUpdateAvailable": true
},
{
"id": "00044f612345bdaf759462dbe6bd733b6a9c59ab4_onedrive_20.245.1206.2__",
"deviceId": "00044f91234daf759492dbe6bd733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_189663d45612eed224b2be2f5ea3142729e63f16a.DomainPII_21eed80b086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.245.1206.2",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2944539346-1310925172-2349113062-1001\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"securityUpdateAvailable": true
},
{
"id": "00044f912345daf759462bde6db733b6a9c56ab4_windows_10_10.0.17763.1637__",
"deviceId": "00044f912345daf756462dbe6db733d6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eeb224d2be2f5ea3142729e63f16a.DomainPII_21eeb80d086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "windows_10" "Windows_11",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-windows_10" "va-_-microsoft-_-windows_11",
"securityUpdateAvailable": true
}
],
"@odata.nextLink": "https://api.security.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}
2. Szoftveres biztonsági rések felmérésének exportálása (fájlokon keresztül)
2.1 API-metódus leírása
Ez az API-válasz eszközönként tartalmazza a telepített szoftverek összes adatát. Egy olyan táblát ad vissza, amely a DeviceId, a SoftwareVendor, a SoftwareName, a SoftwareVersion, a CVEID minden egyedi kombinációjához tartalmaz bejegyzést.
2.1.2 Korlátozások
Az API sebességkorlátozásai percenként 5 hívás, óránként 20 hívás.
2.2 Engedélyek
Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata.
| Engedély típusa | Engedély | Engedély megjelenítendő neve |
|---|---|---|
| Alkalmazás | Vulnerability.Read.All | "Veszélyforrás- és biztonságirés-kezelési biztonságirés-információk olvasása" |
| Delegált (munkahelyi vagy iskolai fiók) | Biztonsági rés.Read | "Veszélyforrás- és biztonságirés-kezelési biztonságirés-információk olvasása" |
2.3 URL
GET /api/machines/SoftwareVulnerabilitiesExport
2.4 Paraméterek
-
sasValidHours: Az órák száma, amelyre a letöltési URL-címek érvényesek. A maximális idő 6 óra.
2.5 Tulajdonságok
- A fájlok GZIP tömörített & többsoros JSON formátumban.
- A letöltési URL-címek 1 óráig érvényesek, kivéve, ha a paramétert
sasValidHourshasználja. - Az adatok maximális letöltési sebessége érdekében győződjön meg arról, hogy az adatokkal azonos Azure régióból tölt le.
- Minden rekord 1 KB adat. Ezt figyelembe kell vennie a megfelelő pageSize paraméter kiválasztásakor.
- A válaszban néhány további oszlop is megjelenhet. Ezek az oszlopok ideiglenesek, és eltávolíthatók, ezért csak a dokumentált oszlopokat használja.
| Tulajdonság (azonosító) | Adattípus | Leírás | Példa visszaadott értékre |
|---|---|---|---|
| Fájlok exportálása | tömb[sztring] | A szervezet aktuális pillanatképét tartalmazó fájlok letöltési URL-címeinek listája. | ["https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...1", "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...2"] |
| GeneratedTime | Karakterlánc | Az exportálás létrehozásának időpontja. | 2021-05-20T08:00:00Z |
2.6 Példák
2.6.1 Példa kérésre
GET https://api.security.contoso.com/api/machines/SoftwareVulnerabilitiesExport
2.6.2 Példa válaszra
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles": [
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c000.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c001.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c002.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=..."
],
"generatedTime": "2021-01-11T11:01:00Z"
}
3. Delta-exportálási szoftver biztonsági réseinek felmérése (JSON-válasz)
3.1 API-metódus leírása
Egy olyan táblát ad vissza, amely a DeviceId, a SoftwareVendor, a SoftwareName, a SoftwareVersion, a CveId minden egyedi kombinációjához tartalmaz bejegyzést. Az API JSON-válaszokként kér le adatokat a szervezetből. A válasz lapszámozott, így a @odata.nextLink válasz mezője segítségével lekérheti a következő eredményeket. A teljes szoftveres biztonsági rések felmérésével (JSON-válasz) ellentétben, amely a szervezet szoftveres biztonsági réseinek eszköz szerinti felmérésének teljes pillanatképének lekérésére szolgál, a delta export JSON response API-hívással csak a kiválasztott dátum és az aktuális dátum (a "delta" API-hívás) között történt módosítások kérhetőek le. Ahelyett, hogy minden alkalommal nagy mennyiségű adatot tartalmazó teljes exportálást kap, csak konkrét információkat kap az új, kijavított és frissített biztonsági résekkel kapcsolatban. A Delta exportálási JSON-válasz API-hívása különböző KPI-k kiszámítására is használható, például "hány biztonsági rés lett javítva?" vagy "hány új biztonsági rés lett hozzáadva a szervezetemhez?"
Hat óránként frissítjük a Teljesszoftveres biztonsági rések felmérését (flat/Full VA) eszközexportálásonként, és minden pillanatképet blobtárolóban tárolunk. Az API mindig a legújabb pillanatképet szolgálja ki, hogy hangsúlyozzuk, hogy a Get Endpoint hívása nem aktivál egy generációt, a hívás lekérési végpontja csak olvassa a legújabb Flat OR Delta after sinceTime parancsot.
A teljes VA-exportálás sikeres befejezése elindítja a delta-exportálást , amely rögzíti a Delta által feldolgozott legutóbbi sík VA változásait az új sík VA-ra.
RBAC-hatókörű ismétlődések:
Az exportálások hatókörét az RBACGroup határozza meg. Az egyik RBAC-csoportból egy másikba áthelyezett eszköz kétszer jelenik meg a Delta-exportálásban, amikor a globális nézettel kérdezi le (RBACGroup=*), egyszer az előző csoport alatt a "Rögzített" állapottal, egyszer pedig az aktuális csoport alatt "Új" állapottal. Ha eszközönként egyetlen mérvadó rekordra van szüksége, használja együtt a rbacGroupId és az eszközazonosítót (vagy szuplikálja az ön oldalán).
3.1.0 Ajánlott lekérési minta
Alapterv – Töltse le a teljes VA(flat VA) exportálást az előnyben részesített ütemezés szerint (hetente gyakran elegendő).
Naprakész állapot – változásexportálás a teljes pillanatképek között (a Delta legfeljebb 14 nappal a múltba kérdezhető le).
RBAC-áthelyezések kezelése – Delta feldolgozásakor azokat a bejegyzéseket, ahol ugyanaz
Id(deviceId_software_a verzió _ cve)jelenik meg többrbacGroupIdérték alatt.Ha "Status" = Fix" az "EventTimestamp"- "FirstSeenTimestamp" számítása becslést ad arra, hogy a CVE mikor lett javítva 6 órás részletességgel (a Delta-feldolgozó futási időköze miatt).
3.1.1 Korlátozások
- A maximális oldalméret 200 000.
- A sinceTime paraméter legfeljebb 14 napig tart.
- Az API sebességkorlátozásai percenként 30 hívás és óránként 1000 hívás.
3.2 Engedélyek
Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata.
| Engedély típusa | Engedély | Engedély megjelenítendő neve |
|---|---|---|
| Alkalmazás | Vulnerability.Read.All | "Veszélyforrás- és biztonságirés-kezelési biztonságirés-információk olvasása" |
| Delegált (munkahelyi vagy iskolai fiók) | Biztonsági rés.Read | "Veszélyforrás- és biztonságirés-kezelési biztonságirés-információk olvasása" |
3.3 URL
GET /api/machines/SoftwareVulnerabilityChangesByMachine
3.4 Paraméterek
- sinceTime (kötelező): Az a kezdő időpont, amelytől az adatváltozásokat meg szeretné tekinteni. A biztonságirés-kezelés 6 óránként generál adatokat az új és frissített biztonsági résekről. A visszaadott adatok tartalmazzák a megadott sinceTime időszak 6 órás időszakában rögzített összes módosítást, valamint az azt követő 6 órás időszakok változásait, beleértve a legutóbb létrehozott adatokat is.
- pageSize (alapértelmezett = 50 000): a válaszban szereplő eredmények száma.
- $top: a visszaadandó eredmények száma (nem ad vissza @odata.nextLink , így nem kér le minden adatot).
3.5 Tulajdonságok
Minden visszaadott rekord tartalmazza az eszköz API által végzett teljes exportálási szoftveres biztonsági rések felmérésének összes adatát, valamint két további mezőt: EventTimestamp és Status.
- Előfordulhat, hogy a válaszban más oszlopok is megjelennek. Ezek az oszlopok ideiglenesek, és eltávolíthatók, ezért csak a dokumentált oszlopokat használja.
- Az alábbi táblázatban definiált tulajdonságok betűrendben, tulajdonságazonosító szerint vannak felsorolva. Az API futtatásakor az eredményül kapott kimenet nem feltétlenül az ebben a táblázatban felsorolt sorrendben jelenik meg.
| Tulajdonság (azonosító) | Adattípus | Leírás | Példa a visszaadott értékre |
|---|---|---|---|
| CveId | Karakterlánc | A közös biztonsági rések és kitettségek (CVE) rendszer biztonsági réséhez rendelt egyedi azonosító. | CVE-2020-15992 |
| CvssScore | Kétszeres | A CVE CVSS-pontszáma. | 6.2 |
| Deviceid | Karakterlánc | A szolgáltatásban lévő eszköz egyedi azonosítója. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | Karakterlánc | Az eszköz teljes tartományneve (FQDN). | johnlaptop.europe.contoso.com |
| DiskPaths | Tömb[sztring] | A lemez azt jelzi, hogy a termék telepítve van az eszközön. | ["C:\Program Files (x86)\Microsoft\Silverlight\Application\silverlight.exe"] |
| EventTimestamp | Karakterlánc | A változásesemény megtalálása időpontja. | 2020-11-03 10:13:34.8476880 |
| Biztonsági rés kiaknázása szint | Karakterlánc | A biztonsági rés kizsákmányolhatósági szintje (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| IsOnboarded | Logikai | Azt jelzi, hogy egy eszköz regisztrálva van-e vagy sem. | A lehetséges értékek igaz vagy hamisak. |
| FirstSeenTimestamp | Karakterlánc | A termék CVE-jének első észlelése az eszközön. | 2020-11-03 10:13:34.8476880 |
| Azonosító | Karakterlánc | A rekord egyedi azonosítója. | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | Karakterlánc | A szoftver legutóbbi bejelentésének időpontja az eszközön. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | Karakterlánc | Az eszközön futó operációs rendszer platformja; olyan operációs rendszerek, amelyek ugyanazon családon belül eltérőek, például Windows 10 és Windows 11. További információ: Microsoft Defender biztonságirés-kezelés támogatott operációs rendszerek és platformok. | Windows10 és Windows 11 |
| RbacGroupName | Karakterlánc | A szerepköralapú hozzáférés-vezérlési (RBAC) csoport. Ha az eszköz nincs hozzárendelve egyetlen RBAC-csoporthoz sem, az érték "Nincs hozzárendelve". | Kiszolgálók |
| RecommendationReference | sztring | A szoftverhez kapcsolódó javaslatazonosítóra mutató hivatkozás. | va--microsoft--silverlight |
| RecommendedSecurityUpdate | Karakterlánc | A szoftvergyártó által a biztonsági rés elhárításához megadott biztonsági frissítés neve vagy leírása. | 2020. áprilisi biztonsági Frissítések |
| RecommendedSecurityUpdateId | Karakterlánc | A vonatkozó biztonsági frissítések azonosítója vagy a vonatkozó útmutatók vagy tudásbázis (KB) cikkek azonosítója | 4550961 |
| RegistryPaths | Tömb[sztring] | A beállításjegyzék igazolja, hogy a termék telepítve van az eszközön. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome"] |
| Szoftvernév | Karakterlánc | A szoftvertermék neve. | Chrome |
| SoftwareVendor | Karakterlánc | A szoftvergyártó neve. | |
| SoftwareVersion | Karakterlánc | A szoftvertermék verziószáma. | 81.0.4044.138 |
| Állapot | Karakterlánc | Új (egy eszközön bevezetett új biztonsági rés esetén) (1) Javítva (ha a biztonsági rés már nem létezik az eszközön, ami azt jelenti, hogy kijavították). (2) Frissítve (ha egy eszköz biztonsági rése megváltozott. A lehetséges módosítások a következők: CVSS-pontszám, kihasználhatósági szint, súlyossági szint, DiskPaths, RegistryPaths, RecommendedSecurityUpdate). | Rögzített |
| VulnerabilitySeverityLevel | Karakterlánc | A biztonsági réshez rendelt súlyossági szint a CVSS-pontszámon alapul. | Közepes |
Pontosítások
Ha a szoftvert az 1.0-s verzióról a 2.0-s verzióra frissítették, és mindkét verzió elérhető a CVE-A számára, két külön eseményt kap:
- Javítva: A CVE-A az 1.0-s verzión javítva lett.
- Új: A CVE-A a 2.0-s verzión lett hozzáadva.
Ha egy adott biztonsági rést (például a CVE-A-t) először egy adott időpontban (például január 10-én) láttak az 1.0-s verziójú szoftveren, és néhány nappal később a szoftver frissítve lett a 2.0-s verzióra, amely szintén ugyanazon CVE-A-nek volt kitéve, az alábbi két külön eseményt kapja:
- Javítva: CVE-X, FirstSeenTimestamp Január 10, 1.0-s verzió.
- Új: CVE-X, FirstSeenTimestamp Január 10, 2.0-s verzió.
3.6 Példák
3.6.1 Példa kérésre
GET https://api.security.microsoft.com/api/machines/SoftwareVulnerabilityChangesByMachine?pageSize=5&sinceTime=2021-05-19T18%3A35%3A49.924Z
3.6.2 Példa válaszra
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.DeltaAssetVulnerability)",
"value": [
{
"id": "008198251234544f7dfa715e278d4cec0c16c171_chrome_87.0.4280.88__",
"deviceId": "008198251234544f7dfa715e278b4cec0c19c171",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_1c8fee370690ca24b6a0d3f34d193b0424943a8b8.DomainPII_0dc1aee0fa366d175e514bd91a9e7a5b2b07ee8e.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "87.0.4280.88",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Google Chrome"
],
"lastSeenTimestamp": "2021-01-04 00:29:42",
"firstSeenTimestamp": "2020-11-06 03:12:44",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "00e59c61234533860738ecf488eec8abf296e41e_onedrive_20.64.329.3__",
"deviceId": "00e56c91234533860738ecf488eec8abf296e41e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_82c13a8ad8cf3dbaf7bf34fada9fa3aebc124116.DomainPII_21eeb80d086e79dbfa178eadfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.64.329.3",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2127521184-1604012920-1887927527-24918864\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-11 19:49:48",
"firstSeenTimestamp": "2020-12-07 18:25:47",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "01aa8c73095bb12345918663f3f94ce322107d24_firefox_83.0.0.0_CVE-2020-26971_",
"deviceId": "01aa8c73065bb12345918693f3f94ce322107d24",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_42684eb981bea2d670027e7ad2caafd3f2b381a3.DomainPII_21eed80b086e76dbfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "mozilla",
"softwareName": "firefox",
"softwareVersion": "83.0.0.0",
"cveId": "CVE-2020-26971",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "193220",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Mozilla Firefox 83.0 (x86 en-US)"
],
"lastSeenTimestamp": "2021-01-05 17:04:30",
"firstSeenTimestamp": "2020-05-06 12:42:19",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-mozilla-_-firefox",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "026f0fcb12345fbd2decd1a339702131422d362e_project_16.0.13701.20000__",
"deviceId": "029f0fcb13245fbd2decd1a336702131422d392e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_a5706750acba75f15d69cd17f4a7fcd268d6422c.DomainPII_f290e982685f7e8eee168b4332e0ae5d2a069cd6.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "project",
"softwareVersion": "16.0.13701.20000",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\ProjectProRetail - en-us"
],
"lastSeenTimestamp": "2021-01-03 23:38:03",
"firstSeenTimestamp": "2019-08-01 22:56:12",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-project",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "038df381234510b357ac19d0113ef622e4e212b3_chrome_81.0.4044.138_CVE-2020-16011_",
"deviceId": "038df381234510d357ac19b0113ef922e4e212b3",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596a43a2ef2bbfa00f6a16c0cb1d108bc63e32.DomainPII_3c5fefd2e6fda2f36257359404f6c1092aa6d4b8.net",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "81.0.4044.138",
"cveId": "CVE-2020-16011",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "ADV 200002",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{C4EBFDFD-0C55-3E5F-A919-E3C54949024A}"
],
"lastSeenTimestamp": "2020-12-10 22:45:41",
"firstSeenTimestamp": "2020-07-26 02:13:43",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
}
],
"@odata.nextLink": "https://wpatdadi-eus-stg.cloudapp.net/api/machines/SoftwareVulnerabilitiesTimeline?sincetime=2021-01-11&pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}