Uzyskiwanie wyników odpowiedzi na żywo

  • Artykuł

Dotyczy:

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.

Porada

Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Opis interfejsu API

Pobiera określony wynik polecenia odpowiedzi na żywo według indeksu.

Ograniczenia

  1. Ograniczenia szybkości dla tego interfejsu API to 100 wywołań na minutę i 1500 wywołań na godzinę.

Minimalne wymagania

Przed zainicjowaniem sesji na urządzeniu upewnij się, że spełniasz następujące wymagania:

Uprawnienia

Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Wprowadzenie.

Typ uprawnień Uprawnienie Nazwa wyświetlana uprawnień
Aplikacja Machine.Read.All Odczytywanie wszystkich profilów maszyn
Aplikacja Machine.ReadWrite.All Odczytywanie i zapisywanie wszystkich informacji o maszynie
Delegowane (konto służbowe) Machine.LiveResponse Uruchamianie odpowiedzi na żywo na określonej maszynie

Żądanie HTTP

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

Nagłówki żądań

Name (Nazwa) Wpisać Opis
Autoryzacji Ciąg Element nośny {token}. Wymagane.

Treść żądania

Pusty

Odpowiedzi

Jeśli to się powiedzie, ta metoda zwraca kod odpowiedzi 200, Ok z obiektem, który przechowuje link do polecenia, w wyniku właściwości value . Ten link jest ważny przez 30 minut i powinien być natychmiast używany do pobierania pakietu do magazynu lokalnego. Wygasły link może zostać ponownie utworzony przez inne wywołanie i nie ma potrzeby ponownego uruchamiania odpowiedzi na żywo.

Właściwości transkrypcji w języku Runscript:

Właściwość Opis
script_name Nazwa wykonanego skryptu
exit_code Wykonany kod zakończenia skryptu
script_output Standardowe dane wyjściowe skryptu wykonanego
script_errors Wykonywany skrypt — standardowe dane wyjściowe błędu

Przykład

Przykład żądania

Oto przykład żądania.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Przykład odpowiedzi

Oto przykład odpowiedzi.

HTTP/1.1 200 Ok

Typ zawartości: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Zawartość pliku:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.