Élő válaszparancsok futtatása eszközön

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 2. csomag

Fontos

A cikkben található információk egy része olyan előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.

Tipp

A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

API-leírás

Élő válaszparancsok sorozatát futtatja egy eszközön

Korlátozások

1. Az API sebességkorlátozásai percenként 10 hívást jelentenek (a további kérések HTTP 429-zel válaszolnak).

2. 25 egyidejűleg futó munkamenet (a szabályozási korlátot meghaladó kérések "429 – Túl sok kérelem" választ kapnak).

3. Ha a gép nem érhető el, a munkamenet legfeljebb három napig lesz várólistán.

4. A RunScript parancs időtúllépései 10 perc után.

5. Az élő válaszparancsok nem várólistára helyezhetők, és csak egyenként hajthatók végre.

6. Ha az API-hívást futtatni próbáló gép olyan RBAC-eszközcsoportban található, amelyhez nincs hozzárendelve automatikus szervizelési szint, legalább engedélyeznie kell egy adott eszközcsoport minimális szervizelési szintjét.

   Megjegyzés:

   Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

7. Egyetlen API-híváson több élő válaszparancs is futtatható. Ha azonban egy élő válaszparancs meghiúsul, a rendszer nem hajtja végre az összes további műveletet.

8. Több élő válasz munkamenet nem hajtható végre ugyanazon a gépen (ha az élő válaszművelet már fut, a rendszer a következő kéréseket HTTP 400 – ActiveRequestAlreadyExists használatával válaszolja meg).

Megjegyzés:

Az Eszköz oldalról indított élő válaszműveletek nem érhetők el a machineactions API-ban.

Minimumkövetelmények

Mielőtt munkamenetet kezdeményezhet egy eszközön, győződjön meg arról, hogy megfelel a következő követelményeknek:

• Ellenőrizze, hogy támogatott Windows-, macOS- vagy Linux-verziót futtat-e.

  Az eszközöknek a következők egyikét kell futtatniuk:

  • Windows 11

  • Windows 10

    • 1909-es vagy újabb verzió
    • 1903-es verzióKB4515384
    • 1809-es verzió (RS 5)KB4537818
    • 1803-es verzió (RS 4)KB4537795
    • 1709-es verzió (RS 3)KB4537816

  • Windows Server 2019 – Csak nyilvános előzetes verzióban alkalmazható

    • 1903-es vagy újabb verzió ( KB4515384)
    • 1809-es verzió ( KB4537818)

  • Windows Server 2022

  • macOS(további konfigurációs profilokat igényel)

    • 13 (Ventura)
    • 12 (Monterey)
    • 11 (Big Sur)

  • Linux

    • Támogatott Linux-kiszolgálói disztribúciók és kernelverziók

Engedélyek

Az API meghívásához az alábbi engedélyek egyikére van szükség. További információkért, beleértve az engedélyek kiválasztását is, olvassa el az Első lépések című témakört.

Engedély típusa	Engedély	Engedély megjelenítendő neve
Alkalmazás	Machine.LiveResponse	Élő válasz futtatása egy adott gépen
Delegált (munkahelyi vagy iskolai fiók)	Machine.LiveResponse	Élő válasz futtatása egy adott gépen

HTTP-kérés

POST https://api.securitycenter.microsoft.com/API/machines/{machine_id}/runliveresponse

Kérelemfejlécek

Name (Név)	Típus	Leírás
Engedélyezési	Karakterlánc	Tulajdonosi<jogkivonat>. Szükséges.
Tartalomtípus	Karakterlánc	application/json. Szükséges.

Kérelem törzse

Paraméter	Típus	Leírás
Megjegyzés	Karakterlánc	A művelethez társítandó megjegyzés.
Parancsok	Tömb	Futtatandó parancsok. Az engedélyezett értékek a Következők: PutFile, RunScript, GetFile (az ismétlődések korlátozásának nélküli sorrendben kell lennie).

Parancsok

Parancstípus	Paraméterek	Leírás
PutFile	Kulcs: FileName Érték: <fájlnév>	Fájlokat helyez el a tárból az eszközre. A fájlok egy munkamappába kerülnek, és az eszköz alapértelmezés szerint újraindulásakor törlődnek. MEGJEGYZÉS: Nincs válaszeredménye.
Runscript	Kulcs: ScriptName Érték: <Szkript a kódtárból> Kulcs: Args Érték: <Szkriptargumentumok>	Szkriptet futtat a kódtárból egy eszközön. Az Args paraméter át lesz adva a szkriptnek. Időtúllépések 10 perc után.
GetFile	Kulcs: Elérési út Érték: <Fájl elérési útja>	Fájl gyűjtése egy eszközről. MEGJEGYZÉS: Az elérési úton lévő fordított perjeleknek feloldva kell lenniük.

Válasz

• Ha sikeres, ez a metódus a 201 Létrehozva értéket adja vissza.

  Műveletentitás. Ha a megadott azonosítóval rendelkező gép nem található – 404 Nem található.

Példa

Példa kérésre

Íme egy példa a kérésre.

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/runliveresponse

```JSON
{
   "Commands":[
      {
         "type":"RunScript",
         "params":[
            {
               "key":"ScriptName",
               "value":"minidump.ps1"
            },
            {
               "key":"Args",
               "value":"OfficeClickToRun"
            }

         ]
      },
      {
         "type":"GetFile",
         "params":[
            {
               "key":"Path",
               "value":"C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
            }
         ]
      }
   ],
   "Comment":"Testing Live Response API"
}

Példa válaszra

Íme egy példa a válaszra.

Az egyes parancsállapotok lehetséges értékei a következők: "Létrehozva", "Befejezve" és "Sikertelen".

HTTP/1.1 200 Ok

Tartalomtípus: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#MachineActions/$entity",
    "id": "{machine_action_id}",
    "type": "LiveResponse",
    "requestor": "analyst@microsoft.com",
    "requestorComment": "Testing Live Response API",
    "status": "Pending",
    "machineId": "{machine_id}",
    "computerDnsName": "hostname",
    "creationDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
    "lastUpdateDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
    "errorHResult": 0,
    "commands": [
        {
            "index": 0,
            "startTime": null,
            "endTime": null,
            "commandStatus": "Created",
            "errors": [],
            "command": {
                "type": "RunScript",
                "params": [
                    {
                        "key": "ScriptName",
                        "value": "minidump.ps1"
                    },{
                        "key": "Args",
                        "value": "OfficeClickToRun"
                    }
                ]
            }
        }, {
            "index": 1,
            "startTime": null,
            "endTime": null,
            "commandStatus": "Created",
            "errors": [],
            "command": {
                "type": "GetFile",
                "params": [{
                        "key": "Path", "value": "C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
                    }
                ]
            }
        }
    ]
}

Kapcsolódó témakörök

• Gépműveleti API lekérése
• Valós idejű válaszművelet eredményének lekérése
• Gépi művelet megszakítása

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.