デバイスでライブ応答コマンドを実行する

適用対象:

• Microsoft Defender for Endpoint Plan 2

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

注:

米国政府機関のお客様は、 Microsoft Defender for Endpoint for US Government のお客様に記載されている URI を使用してください。

ヒント

パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

API の説明

デバイスで一連のライブ応答コマンドを実行します

制限事項

1. この API のレート制限は、1 分あたり 10 回の呼び出しです (追加の要求は HTTP 429 で応答されます)。

2. 25 個の同時実行セッション (調整制限を超える要求は、"429 - 要求数が多すぎます" 応答を受け取ります)。

3. マシンが使用できない場合、セッションは最大 3 日間キューに入れられます。

4. RunScript コマンドは 10 分後にタイムアウトします。

5. ライブ応答コマンドはキューに入れることができないので、一度に 1 つだけ実行できます。

6. この API 呼び出しを実行しようとしているマシンが、自動修復レベルが割り当てられない RBAC デバイス グループ内にある場合は、少なくとも特定のデバイス グループの最小修復レベルを有効にする必要があります。

   注:

   デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

7. 1 つの API 呼び出しで複数のライブ応答コマンドを実行できます。 ただし、ライブ応答コマンドが失敗した場合、後続のすべてのアクションは実行されません。

8. 同じコンピューターで複数のライブ応答セッションを実行することはできません (ライブ応答アクションが既に実行されている場合、後続の要求は HTTP 400 - ActiveRequestAlreadyExists で応答されます)。

注:

[デバイス] ページから開始されたライブ応答アクションは、machineactions API では使用できません。

最小要件

デバイスでセッションを開始する前に、次の要件を満たしていることを確認してください。

• サポートされている Windows、macOS、または Linux バージョンを実行していることを確認します。

  デバイスは、次のいずれかを実行している必要があります。

  • Windows 11

  • Windows 10

    • バージョン 1909 以降
    • バージョン 1903とKB4515384
    • バージョン 1809 (RS 5)とKB4537818
    • 1803 (バージョンRS 4) と KB4537795
    • バージョン1709 (RS 3) とKB4537816

  • Windows Server 2019 - パブリック プレビューにのみ適用

    • バージョン 1903 以降 ( KB4515384) 以降
    • バージョン 1809 ( KB4537818)

  • Windows Server 2022

  • macOS(追加の構成プロファイルが必要)

    • 13 (ベンチュラ)
    • 12 (モントレー)
    • 11 (ビッグ サー)

  • Linux

    • サポートされている Linux サーバーのディストリビューションとカーネル バージョン

アクセス許可

この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「 概要」を参照してください。

アクセス許可の種類	アクセス許可	アクセス許可の表示名
アプリケーション	Machine.LiveResponse	特定のマシンでライブ応答を実行する
委任 (職場または学校のアカウント)	Machine.LiveResponse	特定のマシンでライブ応答を実行する

HTTP 要求

POST https://api.securitycenter.microsoft.com/API/machines/{machine_id}/runliveresponse

要求ヘッダー

名前	型	説明
Authorization	String	ベアラー<トークン>。 必須です。
Content-Type	string	application/json. 必須です。

要求本文

パラメーター	型	説明
コメント	文字列	アクションに関連付けるコメント。
コマンド	配列	実行するコマンド。 使用できる値は、PutFile、RunScript、GetFile です (繰り返しに制限なく、この順序にする必要があります)。

コマンド

コマンドの種類	パラメーター	説明
PutFile	キー: FileName 値: <ファイル名>	ライブラリからデバイスにファイルを書き込みます。 ファイルは作業フォルダーに保存され、デバイスが既定で再起動すると削除されます。 注: 応答結果がありません。
RunScript	キー: ScriptName 値: ライブラリから <Script> キー: Args 値: <Script 引数>	デバイス上のライブラリからスクリプトを実行します。 Args パラメーターがスクリプトに渡されます。 10 分後のタイムアウト。
GetFile	キー: パス 値: <File パス>	デバイスからファイルを収集します。 注: パス内の円記号はエスケープする必要があります。

応答

• 成功した場合、このメソッドは 201 Created を返します。

  アクション エンティティ。 指定した ID を持つマシンが見つからなかった場合 - 404 が見つかりません。

例

要求の例

要求の例を次に示します。

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/runliveresponse

```JSON
{
   "Commands":[
      {
         "type":"RunScript",
         "params":[
            {
               "key":"ScriptName",
               "value":"minidump.ps1"
            },
            {
               "key":"Args",
               "value":"OfficeClickToRun"
            }

         ]
      },
      {
         "type":"GetFile",
         "params":[
            {
               "key":"Path",
               "value":"C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
            }
         ]
      }
   ],
   "Comment":"Testing Live Response API"
}

応答の例

応答の例を下に示します。

各コマンドの状態に使用できる値は、"Created"、"Completed"、および "Failed" です。

HTTP/1.1 200 Ok

Content-type: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#MachineActions/$entity",
    "id": "{machine_action_id}",
    "type": "LiveResponse",
    "requestor": "analyst@microsoft.com",
    "requestorComment": "Testing Live Response API",
    "status": "Pending",
    "machineId": "{machine_id}",
    "computerDnsName": "hostname",
    "creationDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
    "lastUpdateDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
    "errorHResult": 0,
    "commands": [
        {
            "index": 0,
            "startTime": null,
            "endTime": null,
            "commandStatus": "Created",
            "errors": [],
            "command": {
                "type": "RunScript",
                "params": [
                    {
                        "key": "ScriptName",
                        "value": "minidump.ps1"
                    },{
                        "key": "Args",
                        "value": "OfficeClickToRun"
                    }
                ]
            }
        }, {
            "index": 1,
            "startTime": null,
            "endTime": null,
            "commandStatus": "Created",
            "errors": [],
            "command": {
                "type": "GetFile",
                "params": [{
                        "key": "Path", "value": "C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
                    }
                ]
            }
        }
    ]
}

関連項目

• マシン アクション API を取得する
• ライブ応答結果の取得
• マシン アクションのキャンセル

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。