Resultaten van live-antwoorden ophalen

  • Artikel

Van toepassing op:

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Opmerking

Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.

Tip

Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

API-beschrijving

Hiermee wordt een specifiek resultaat van een live-antwoordopdracht opgehaald door de bijbehorende index.

Beperkingen

  1. Frequentiebeperkingen voor deze API zijn 100 aanroepen per minuut en 1500 aanroepen per uur.

Minimumvereisten

Voordat u een sessie op een apparaat kunt starten, moet u voldoen aan de volgende vereisten:

Machtigingen

Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Aan de slag voor meer informatie, waaronder het kiezen van machtigingen.

Machtigingstype Machtiging Weergavenaam van machtiging
Toepassing Machine.Read.All Alle machineprofielen lezen
Toepassing Machine.ReadWrite.All Alle computergegevens lezen en schrijven
Gedelegeerd (werk- of schoolaccount) Machine.LiveResponse Live-antwoord uitvoeren op een specifieke computer

HTTP-aanvraag

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

Aanvraagheaders

Naam Type Beschrijving
Vergunning Tekenreeks Bearer {token}. Vereist.

Aanvraagtekst

Lege

Antwoord

Als dit lukt, retourneert deze methode 200, OK-antwoordcode met object dat de koppeling naar het opdrachtresultaat in de eigenschap value bevat. Deze koppeling is 30 minuten geldig en moet onmiddellijk worden gebruikt voor het downloaden van het pakket naar een lokale opslag. Een verlopen koppeling kan opnieuw worden gemaakt door een andere aanroep en u hoeft geen live-antwoord opnieuw uit te voeren.

Eigenschappen van transcriptie uitvoeren:

Eigenschap Omschrijving
script_name Naam van uitgevoerd script
exit_code Uitvoeringscode voor scriptafsluiten
script_output Standaarduitvoer van script uitgevoerd
script_errors Uitvoer van standaardfout uitgevoerd script

Voorbeeld

Voorbeeld van aanvraag

Hier volgt een voorbeeld van de aanvraag.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Antwoordvoorbeeld

Hier volgt een voorbeeld van het antwoord.

HTTP/1.1 200 Ok

Inhoudstype: toepassing/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Bestandsinhoud:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.