ライブ応答の結果を取得する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

注:

米国政府機関のお客様の場合は、米国政府機関のお客様のMicrosoft Defender for Endpointに記載されている URI を使用してください。

ヒント

パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

API の説明

インデックスによって特定のライブ応答コマンドの結果を取得します。

制限事項

1. この API のレート制限は、1 分あたり 100 呼び出しと 1 時間あたり 1500 呼び出しです。

最小要件

デバイスでセッションを開始する前に、次の要件を満たしていることを確認してください。

• サポートされているバージョンの Windowsを実行していることを確認します。

  デバイスは、次のいずれかのバージョンの Windows を実行している必要があります

  • Windows 11

  • Windows 10

    • バージョン 1909 以降
    • バージョン 1903とKB4515384
    • バージョン 1809 (RS 5)とKB4537818
    • 1803 (バージョンRS 4) と KB4537795
    • バージョン1709 (RS 3) とKB4537816

  • Windows Server 2019 - パブリック プレビューにのみ適用

    • バージョン 1903 以降 ( KB4515384) 以降
    • バージョン 1809 ( KB4537818)

  • Windows Server 2022

アクセス許可

この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「 概要」を参照してください。

アクセス許可の種類	アクセス許可	アクセス許可の表示名
アプリケーション	Machine.Read.All	すべてのマシン プロファイルを読み取る
アプリケーション	Machine.ReadWrite.All	すべてのマシン情報の読み取りと書き込み
委任 (職場または学校のアカウント)	Machine.LiveResponse	特定のマシンでライブ応答を実行する

HTTP 要求

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

要求ヘッダー

名前	型	説明
Authorization	String	ベアラー {token}。 必須です。

要求本文

Empty

応答

成功した場合、このメソッドは、コマンドへのリンクを保持するオブジェクトを持つ 200 の OK 応答コードを返します。結果として value プロパティが返されます。 このリンクは 30 分間有効であり、パッケージをローカル ストレージにダウンロードするためにすぐに使用する必要があります。 期限切れのリンクは別の呼び出しで再作成でき、ライブ応答を再度実行する必要はありません。

Runscript トランスクリプト プロパティ:

プロパティ	説明
script_name	実行されたスクリプト名
exit_code	実行されたスクリプト終了コード
script_output	実行されたスクリプトの標準出力
script_errors	実行されたスクリプト標準エラー出力

例

要求の例

要求の例を次に示します。

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

応答の例

応答の例を下に示します。

HTTP/1.1 200 Ok

Content-type: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

ファイルの内容:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}

関連記事

• マシン アクション API を取得する
• マシン アクションのキャンセル
• ライブ応答を実行する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。