Exportar avaliação de linhas de base de segurança por dispositivo
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Gestão de Vulnerabilidade do Microsoft Defender
- Microsoft Defender XDR
Quer experimentar Gestão de vulnerabilidades do Microsoft Defender? Saiba mais sobre como se pode inscrever na Gestão de vulnerabilidades do Microsoft Defender avaliação de pré-visualização pública.
Existem diferentes chamadas à API para obter diferentes tipos de dados. Em geral, cada chamada à API contém os dados necessários para os dispositivos na sua organização.
Resposta JSON A API extrai todos os dados na sua organização como respostas JSON. Este método é melhor para pequenas organizações com menos de 100 K dispositivos. A resposta é paginada, pelo que pode utilizar o campo @odata.nextLink da resposta para obter os resultados seguintes.
através de ficheiros Esta solução de API permite extrair grandes quantidades de dados de forma mais rápida e fiável. Por isso, é recomendado para grandes organizações, com mais de 100 K dispositivos. Esta API extrai todos os dados na sua organização como ficheiros de transferência. A resposta contém URLs para transferir todos os dados do Armazenamento do Azure. Pode transferir dados do Armazenamento do Azure da seguinte forma:
- Chame a API para obter uma lista de URLs de transferência com todos os dados da sua organização.
- Transfira todos os ficheiros com os URLs de transferência e processe os dados conforme quiser.
Os dados recolhidos através de "resposta JSON ou através de ficheiros" são o instantâneo atual do estado atual. Não contém dados históricos. Para recolher dados históricos, os clientes têm de guardar os dados nos seus próprios armazenamentos de dados.
Nota
Salvo indicação em contrário, todos os métodos de avaliação da linha de base de segurança de exportação listados são de exportação completa e por dispositivo (também referidos como por dispositivo)
1. Exportar avaliação de linhas de base de segurança (resposta JSON)
1.1 Descrição do método da API
Devolve todas as avaliações de linhas de base de segurança para todos os dispositivos, numa base por dispositivo. Devolve uma tabela com uma entrada separada para cada combinação exclusiva de DeviceId, ProfileId, ConfigurationId.
1.2 Permissões
É necessária uma das seguintes permissões para chamar esta API. Para saber mais, incluindo como escolher permissões, veja Utilizar Microsoft Defender para Endpoint APIs para obter detalhes.
| Tipo de permissão | Permissão | Nome a apresentar da permissão |
|---|---|---|
| Aplicação | SecurityBaselinesAssessment.Read.All | "Ler todas as informações de avaliações de linhas de base de segurança" |
| Delegado (conta escolar ou profissional) | SecurityBaselinesAssessment.Read | "Ler informações de avaliações de linhas de base de segurança" |
1.3 Limitações
- O tamanho máximo da página é 200 000.
- As limitações de taxa para esta API são 30 chamadas por minuto e 1000 chamadas por hora.
1.4 Parâmetros
- pageSize (predefinição = 50 000): número de resultados em resposta.
- $top: número de resultados a devolver (não devolve @odata.nextLink e, por isso, não extrai todos os dados).
Pedido HTTP 1.5
GET /api/machines/baselineComplianceAssessmentByMachine
1.6 Propriedades (resposta JSON)
Nota
Cada registo tem aproximadamente 1 KB de dados. Deve ter isto em conta ao escolher o parâmetro pageSize correto.
Algumas colunas adicionais podem ser devolvidas na resposta. Estas colunas são temporárias e podem ser removidas. Utilize apenas as colunas documentadas.
As propriedades definidas na tabela seguinte são listadas alfabeticamente por ID de propriedade. Ao executar esta API, o resultado resultante não será necessariamente devolvido pela mesma ordem listada nesta tabela.
| Propriedade (ID) | Tipo de dados | Descrição |
|---|---|---|
| configurationId | Cadeia | Identificador exclusivo para uma configuração específica na referência de linha de base. |
| profileId | Cadeia | Identificador exclusivo do perfil avaliado. |
| deviceId | Cadeia | Identificador exclusivo do dispositivo no serviço. |
| deviceName | Cadeia | Nome de domínio completamente qualificado (FQDN) do dispositivo. |
| isApplicable | Booleano | Indica se a configuração é aplicável a este dispositivo. |
| isCompliant | Booleano | Indica se o dispositivo está em conformidade com a configuração. |
| ID | Cadeia | Identificador exclusivo do registo, que é uma combinação de DeviceId, ProfileId e ConfigurationId. |
| osVersion | Cadeia | Versão específica do sistema operativo em execução no dispositivo. |
| osPlatform | Cadeia | Plataforma do sistema operativo em execução no dispositivo. Sistemas operativos específicos com variações na mesma família, como Windows 10 e Windows 11. Veja Sistemas operativos e plataformas suportados pela MDVM para obter detalhes. |
| rbacGroupId | Int | O ID de grupo do controlo de acesso baseado em funções (RBAC). Se o dispositivo não estiver atribuído a nenhum grupo RBAC, o valor será "Não atribuído". Se a organização não contiver nenhum grupo RBAC, o valor será "Nenhum". |
| rbacGroupName | Cadeia | O grupo de controlo de acesso baseado em funções (RBAC). Se o dispositivo não estiver atribuído a nenhum grupo RBAC, o valor será "Não atribuído". Se a organização não contiver nenhum grupo RBAC, o valor será "Nenhum". |
| DataCollectionTimeOffset | DateTime | A hora em que os dados foram recolhidos do dispositivo. Este campo poderá não aparecer se não forem recolhidos dados. |
| ComplianceCalculationTimeOffset | DateTime | A hora em que o cálculo da avaliação foi feito. |
| RecommendedValue | Cadeia | Conjunto de valores esperados para que a definição atual do dispositivo seja reclamada. |
| CurrentValue | Cadeia | Conjunto de valores detetados encontrados no dispositivo. |
| Source (Origem) | Cadeia | O caminho do registo ou outra localização utilizada para determinar a definição atual do dispositivo. |
1.7 Exemplo
1.7.1 Exemplo de pedido
GET https://api.securitycenter.microsoft.com/api/machines/BaselineComplianceAssessmentByMachine
1.7.2 Exemplo de resposta
{
"@odata.context": " https://api.securitycenter.microsoft.com /api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetBaselineAssessment)",
"value": [
{
"id": "0000682575d5d473e82ed4d8680425d152411251_9e1b90be-e83e-485b-a5ec-4a429412e734_1.1.1",
"configurationId": "1.1.1",
"deviceId": "0000682575d5d473242222425d152411251",
"deviceName": " ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596 ",
"profileId": "9e1b90be-e83e-485b-a5ec-4a429412e734",
"osPlatform": "WindowsServer2019",
"osVersion": "10.0.17763.2330",
"rbacGroupId": 86,
"rbacGroupName": "UnassignedGroup",
"isApplicable": true,
"isCompliant": false,
"dataCollectionTimeOffset": "2021-12-22T00:08:02.478Z",
"recommendedValue": [
"Greater than or equal '24'"
],
"currentValue": [
"24"
],
"source": [
"password_hist_len"
],
}
2. Exportar avaliação de linhas de base de segurança (através de ficheiros)
Descrição do método da API 2.1
Devolve todas as avaliações de linhas de base de segurança para todos os dispositivos, numa base por dispositivo. Devolve uma tabela com uma entrada separada para cada combinação exclusiva de DeviceId, ProfileId, ConfigurationId.
2.2 Limitações
- As limitações de taxa para esta API são 5 chamadas por minuto e 20 chamadas por hora.
2.3 URL
GET /api/machines/BaselineComplianceAssessmentExport
2.4 Parâmetros
- sasValidHours: o número de horas durante as quais os URLs de transferência serão válidos (Máximo de 24 horas).
2.5 Propriedades (através de ficheiros)
Nota
Os ficheiros são comprimidos gzip & no formato Json multiline.
Os URLs de transferência só são válidos durante 3 horas; caso contrário, pode utilizar o parâmetro .
Para maximizar as velocidades de transferência, certifique-se de que está a transferir os dados da mesma região do Azure onde residem os seus dados.
Algumas colunas adicionais podem ser devolvidas na resposta. Estas colunas são temporárias e podem ser removidas. Utilize apenas as colunas documentadas.
| Propriedade (ID) | Tipo de dados | Descrição |
|---|---|---|
| Exportar ficheiros | matriz[cadeia] | Uma lista de URLs de transferência para ficheiros que contêm o instantâneo atual da organização. |
| GeneratedTime | Cadeia | A hora em que a exportação foi gerada. |
2.6 Exemplo
2.6.1 Exemplo de pedido
GET https://api.securitycenter.microsoft.com/api/machines/BaselineComplianceAssessmentExport
2.6.2 Exemplo de resposta
{
"@odata.context": "https://api.securitycenter. contoso.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles":
[
"https://tvmexportexternalstgeus.blob.core.windows.net/temp-1ebd3d09-d06a-4aad-ab80-ebc536cec61c/2021-12-22/0500/BaselineAssessmentExport/json/OrgId= OrgId=<Org Id>/_RbacGroupId=<Rbac Group Id>/part-00000-c09dfd00-2278-4735-b23a-71733751fcbc.c000.json.gz?sv=ABCD",
"https://tvmexportexternalstgeus.blob.core.windows.net/temp-1ebd3d09-d06a-4aad-ab80-ebc536cec61c/2021-12-22/0500/BaselineAssessmentExport/json/OrgId=<Org Id>/_RbacGroupId=<Rbac Group Id>/part-00001-c09dfd00-2278-4735-b23a-71733751fcbc.c000.json.gz?sv= ABCD",
],
"generatedTime": "2021-01-11T11:01:00Z"
}
Consulte também
- Obter perfis de avaliação de linhas de base de segurança
- Obter configurações de avaliação de linhas de base de segurança
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários