라이브 응답 결과 가져오기

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

참고

미국 정부 고객인 경우 미국 정부 고객을 위해 엔드포인트용 Microsoft Defender 나열된 URI를 사용하세요.

팁

성능을 향상시키려면 서버를 지리적 위치에 더 가깝게 사용할 수 있습니다.

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

API 설명

인덱스로 특정 라이브 응답 명령 결과를 검색합니다.

제한 사항

1. 이 API에 대한 속도 제한은 분당 100개 호출 및 시간당 1500개 호출입니다.

최소 요구 사항

디바이스에서 세션을 시작하기 전에 다음 요구 사항을 충족하는지 확인합니다.

• 지원되는 버전의 Windows를 실행하고 있는지 확인합니다.

  디바이스는 다음 버전의 Windows 중 하나를 실행해야 합니다.

  • Windows 11

  • Windows 10

    • 버전 1909 이상
    • 버전 1903및 KB4515384
    • 버전 1809(RS 5)및 KB4537818
    • 버전 1803(RS 4)및 KB4537795
    • 버전 1709(RS 3)및 KB4537816

  • Windows Server 2019 - 공개 미리 보기에만 적용

    • 버전 1903 또는 이후 버전( KB4515384 포함)
    • 버전 1809( KB4537818 포함)

  • Windows Server 2022

권한

이 API를 호출하려면 다음 권한 중 하나가 필요합니다. 사용 권한을 선택하는 방법을 포함하여 자세한 내용은 시작을 참조하세요.

사용 권한 유형	사용 권한	사용 권한 표시 이름
응용 프로그램	Machine.Read.All	모든 컴퓨터 프로필 읽기
응용 프로그램	Machine.ReadWrite.All	모든 컴퓨터 정보 읽기 및 쓰기
위임됨(회사 또는 학교 계정)	Machine.LiveResponse	특정 컴퓨터에서 라이브 응답 실행

HTTP 요청

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

요청 헤더

이름	유형	설명
권한 부여	String	전달자 {token}. 필수 특성입니다.

요청 본문

빈

응답

성공하면 이 메서드는 값 속성의 명령 결과에 대한 링크를 포함하는 개체가 있는 200, Ok 응답 코드를 반환합니다. 이 링크는 30분 동안 유효하며 패키지를 로컬 스토리지에 다운로드하는 데 즉시 사용해야 합니다. 만료된 링크는 다른 호출로 다시 만들 수 있으며 라이브 응답을 다시 실행할 필요가 없습니다.

Runscript 전사 속성:

속성	설명
script_name	실행된 스크립트 이름
exit_code	실행된 스크립트 종료 코드
script_output	실행된 스크립트 표준 출력
script_errors	실행된 스크립트 표준 오류 출력

예제

요청 예제

다음은 요청의 예입니다.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

응답 예제

다음은 응답의 예입니다.

HTTP/1.1 200 확인

Content-type: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

파일 콘텐츠:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}

관련 문서

• 컴퓨터 작업 API 가져오기
• 컴퓨터 작업 취소
• 실시간 응답 실행

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.