Share via


Élő válaszparancsok futtatása eszközön

Érintett szolgáltatás:

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.

Tipp

A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

API-leírás

Élő válaszparancsok sorozatát futtatja egy eszközön

Korlátozások

  1. Az API sebességkorlátozásai percenként 10 hívást jelentenek (a további kérések HTTP 429-zel válaszolnak).

  2. 25 egyidejűleg futó munkamenet (a szabályozási korlátot meghaladó kérések "429 – Túl sok kérelem" választ kapnak).

  3. Ha a gép nem érhető el, a munkamenet legfeljebb három napig lesz várólistán.

  4. A RunScript parancs időtúllépései 10 perc után.

  5. Az élő válaszparancsok nem várólistára helyezhetők, és csak egyenként hajthatók végre.

  6. Ha az API-hívást futtatni próbáló gép olyan RBAC-eszközcsoportban található, amelyhez nincs hozzárendelve automatikus szervizelési szint, legalább engedélyeznie kell egy adott eszközcsoport minimális szervizelési szintjét.

    Megjegyzés:

    Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

  7. Egyetlen API-híváson több élő válaszparancs is futtatható. Ha azonban egy élő válaszparancs meghiúsul, a rendszer nem hajtja végre az összes további műveletet.

  8. Több élő válasz munkamenet nem hajtható végre ugyanazon a gépen (ha az élő válaszművelet már fut, a rendszer a következő kéréseket HTTP 400 – ActiveRequestAlreadyExists használatával válaszolja meg).

Megjegyzés:

Az Eszköz oldalról indított élő válaszműveletek nem érhetők el a machineactions API-ban.

Minimumkövetelmények

Mielőtt munkamenetet kezdeményezhet egy eszközön, győződjön meg arról, hogy megfelel a következő követelményeknek:

Engedélyek

Az API meghívásához az alábbi engedélyek egyikére van szükség. További információkért, beleértve az engedélyek kiválasztását is, olvassa el az Első lépések című témakört.

Engedély típusa Engedély Engedély megjelenítendő neve
Alkalmazás Machine.LiveResponse Élő válasz futtatása egy adott gépen
Delegált (munkahelyi vagy iskolai fiók) Machine.LiveResponse Élő válasz futtatása egy adott gépen

HTTP-kérés

POST https://api.securitycenter.microsoft.com/API/machines/{machine_id}/runliveresponse

Kérelemfejlécek

Name (Név) Típus Leírás
Engedélyezési Karakterlánc Tulajdonosi<jogkivonat>. Szükséges.
Tartalomtípus Karakterlánc application/json. Szükséges.

Kérelem törzse

Paraméter Típus Leírás
Megjegyzés Karakterlánc A művelethez társítandó megjegyzés.
Parancsok Tömb Futtatandó parancsok. Az engedélyezett értékek a Következők: PutFile, RunScript, GetFile (az ismétlődések korlátozásának nélküli sorrendben kell lennie).

Parancsok

Parancstípus Paraméterek Leírás
PutFile Kulcs: FileName

Érték: <fájlnév>

Fájlokat helyez el a tárból az eszközre. A fájlok egy munkamappába kerülnek, és az eszköz alapértelmezés szerint újraindulásakor törlődnek. MEGJEGYZÉS: Nincs válaszeredménye.
Runscript Kulcs: ScriptName
Érték: <Szkript a kódtárból>

Kulcs: Args
Érték: <Szkriptargumentumok>

Szkriptet futtat a kódtárból egy eszközön.

Az Args paraméter át lesz adva a szkriptnek.

Időtúllépések 10 perc után.

GetFile Kulcs: Elérési út
Érték: <Fájl elérési útja>
Fájl gyűjtése egy eszközről. MEGJEGYZÉS: Az elérési úton lévő fordított perjeleknek feloldva kell lenniük.

Válasz

  • Ha sikeres, ez a metódus a 201 Létrehozva értéket adja vissza.

    Műveletentitás. Ha a megadott azonosítóval rendelkező gép nem található – 404 Nem található.

Példa

Példa kérésre

Íme egy példa a kérésre.

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/runliveresponse

```JSON
{
   "Commands":[
      {
         "type":"RunScript",
         "params":[
            {
               "key":"ScriptName",
               "value":"minidump.ps1"
            },
            {
               "key":"Args",
               "value":"OfficeClickToRun"
            }

         ]
      },
      {
         "type":"GetFile",
         "params":[
            {
               "key":"Path",
               "value":"C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
            }
         ]
      }
   ],
   "Comment":"Testing Live Response API"
}

Példa válaszra

Íme egy példa a válaszra.

Az egyes parancsállapotok lehetséges értékei a következők: "Létrehozva", "Befejezve" és "Sikertelen".

HTTP/1.1 200 Ok

Tartalomtípus: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#MachineActions/$entity",
    "id": "{machine_action_id}",
    "type": "LiveResponse",
    "requestor": "analyst@microsoft.com",
    "requestorComment": "Testing Live Response API",
    "status": "Pending",
    "machineId": "{machine_id}",
    "computerDnsName": "hostname",
    "creationDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
    "lastUpdateDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
    "errorHResult": 0,
    "commands": [
        {
            "index": 0,
            "startTime": null,
            "endTime": null,
            "commandStatus": "Created",
            "errors": [],
            "command": {
                "type": "RunScript",
                "params": [
                    {
                        "key": "ScriptName",
                        "value": "minidump.ps1"
                    },{
                        "key": "Args",
                        "value": "OfficeClickToRun"
                    }
                ]
            }
        }, {
            "index": 1,
            "startTime": null,
            "endTime": null,
            "commandStatus": "Created",
            "errors": [],
            "command": {
                "type": "GetFile",
                "params": [{
                        "key": "Path", "value": "C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
                    }
                ]
            }
        }
    ]
}

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.