Экспорт оценки базовых показателей безопасности для каждого устройства
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Управление уязвимостями в Microsoft Defender
- Microsoft Defender XDR
Хотите испытать Управление уязвимостями Microsoft Defender? Узнайте больше о том, как зарегистрироваться в общедоступной пробной версии Управление уязвимостями Microsoft Defender.
Существуют различные вызовы API для получения разных типов данных. Как правило, каждый вызов API содержит необходимые данные для устройств в вашей организации.
Ответ JSON API извлекает все данные в организации в виде ответов JSON. Этот метод лучше всего подходит для небольших организаций с менее чем 100 тыс. устройств. Ответ разбиется на страницы, поэтому для получения следующих результатов можно использовать поле @odata.nextLink из ответа.
через файлы Это решение API позволяет быстрее и надежнее извлекать большие объемы данных. Поэтому рекомендуется использовать его для крупных организаций с более чем 100 тыс. устройств. Этот API извлекает все данные в вашей организации в виде файлов скачивания. Ответ содержит URL-адреса для скачивания всех данных из службы хранилища Azure. Данные из службы хранилища Azure можно скачать следующим образом:
- Вызовите API, чтобы получить список URL-адресов для скачивания со всеми данными организации.
- Скачайте все файлы с помощью URL-адресов для скачивания и обработайте данные по мере того, как вам нравится.
Данные, собираемые с помощью ответа JSON или с помощью файлов, являются текущим snapshot текущего состояния. Он не содержит исторических данных. Для сбора исторических данных клиенты должны сохранять данные в собственных хранилищах данных.
Примечание.
Если не указано иное, все перечисленные методы оценки базовых показателей безопасности экспорта полностью экспортируются и по устройству (также называются по устройству).
1. Экспорт оценки базовых показателей безопасности (ответ JSON)
1.1 Описание метода API
Возвращает все оценки базовых показателей безопасности для всех устройств на основе каждого устройства. Он возвращает таблицу с отдельной записью для каждой уникальной комбинации DeviceId, ProfileId, ConfigurationId.
1.2 Разрешения
Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечной точки.
| Тип разрешения | Разрешение | Отображаемое имя разрешения |
|---|---|---|
| Приложение | SecurityBaselinesAssessment.Read.All | "Чтение всех сведений об оценках базовых показателей безопасности" |
| Делегированные (рабочая или учебная учетная запись) | SecurityBaselinesAssessment.Read | "Чтение сведений об оценках базовых показателей безопасности" |
1.3. Ограничения
- Максимальный размер страницы — 200 000.
- Ограничения скорости для этого API: 30 вызовов в минуту и 1000 вызовов в час.
1.4 Параметры
- pageSize (по умолчанию = 50 000): количество результатов в ответе.
- $top: число возвращаемых результатов (не возвращает @odata.nextLink и поэтому не извлекет все данные).
HTTP-запрос 1.5
GET /api/machines/baselineComplianceAssessmentByMachine
1.6. Свойства (ответ JSON)
Примечание.
Каждая запись составляет примерно 1 КБ данных. Это следует учитывать при выборе правильного параметра pageSize.
В ответе могут быть возвращены некоторые дополнительные столбцы. Эти столбцы являются временными и могут быть удалены. Используйте только задокументированные столбцы.
Свойства, определенные в следующей таблице, перечислены в алфавитном порядке по идентификатору свойства. При запуске этого API результирующие выходные данные не обязательно будут возвращаться в том же порядке, что и в этой таблице.
| Свойство (идентификатор) | Тип данных | Описание |
|---|---|---|
| configurationId | String | Уникальный идентификатор для конкретной конфигурации в базовом эталонном тесте. |
| profileId | String | Уникальный идентификатор оцениваемого профиля. |
| deviceId | String | Уникальный идентификатор устройства в службе. |
| deviceName | String | Полное доменное имя (FQDN) устройства. |
| isApplicable | Логический | Указывает, применима ли конфигурация к этому устройству. |
| isCompliant | Логический | Указывает, соответствует ли устройство конфигурации. |
| id | String | Уникальный идентификатор для записи, который представляет собой сочетание DeviceId, ProfileId и ConfigurationId. |
| osVersion | String | Определенная версия операционной системы, работающей на устройстве. |
| osPlatform | String | Платформа операционной системы, запущенная на устройстве. Конкретные операционные системы с вариациями в пределах одного семейства, например Windows 10 и Windows 11. Дополнительные сведения см. в статье Операционные системы и платформы, поддерживаемые MDVM . |
| rbacGroupId | Целое | Идентификатор группы управления доступом на основе ролей (RBAC). Если устройство не назначено ни одной группе RBAC, значение будет "Не назначено". Если в организации нет групп RBAC, значение будет "Нет". |
| rbacGroupName | String | Группа управления доступом на основе ролей (RBAC). Если устройство не назначено ни одной группе RBAC, значение будет "Не назначено". Если в организации нет групп RBAC, значение будет "Нет". |
| DataCollectionTimeOffset | DateTime | Время сбора данных с устройства. Это поле может не отображаться, если данные не были собраны. |
| ComplianceCalculationTimeOffset | DateTime | Время вычисления оценки. |
| RecommendedValue | String | Набор ожидаемых значений для текущего параметра устройства, который должен быть жалобным. |
| CurrentValue | String | Набор обнаруженных значений, найденных на устройстве. |
| Source | Строка | Путь к реестру или другое расположение, используемое для определения текущего параметра устройства. |
1.7. Пример
1.7.1. Пример запроса
GET https://api.securitycenter.microsoft.com/api/machines/BaselineComplianceAssessmentByMachine
1.7.2. Пример ответа
{
"@odata.context": " https://api.securitycenter.microsoft.com /api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetBaselineAssessment)",
"value": [
{
"id": "0000682575d5d473e82ed4d8680425d152411251_9e1b90be-e83e-485b-a5ec-4a429412e734_1.1.1",
"configurationId": "1.1.1",
"deviceId": "0000682575d5d473242222425d152411251",
"deviceName": " ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596 ",
"profileId": "9e1b90be-e83e-485b-a5ec-4a429412e734",
"osPlatform": "WindowsServer2019",
"osVersion": "10.0.17763.2330",
"rbacGroupId": 86,
"rbacGroupName": "UnassignedGroup",
"isApplicable": true,
"isCompliant": false,
"dataCollectionTimeOffset": "2021-12-22T00:08:02.478Z",
"recommendedValue": [
"Greater than or equal '24'"
],
"currentValue": [
"24"
],
"source": [
"password_hist_len"
],
}
2. Экспорт оценки базовых показателей безопасности (с помощью файлов)
2.1. Описание метода API
Возвращает все оценки базовых показателей безопасности для всех устройств на основе каждого устройства. Он возвращает таблицу с отдельной записью для каждой уникальной комбинации DeviceId, ProfileId, ConfigurationId.
2.2 Ограничения
- Ограничения скорости для этого API : 5 вызовов в минуту и 20 вызовов в час.
URL-адрес 2.3
GET /api/machines/BaselineComplianceAssessmentExport
2.4. Параметры
- sasValidHours: количество часов, в течение которых будут действовать URL-адреса скачивания (максимум 24 часа).
2.5 Свойства (через файлы)
Примечание.
Файлы сжаты gzip & в многострочных форматах JSON.
URL-адреса для скачивания действительны только в течение 3 часов; В противном случае можно использовать параметр .
Чтобы увеличить скорость загрузки, убедитесь, что данные загружаются из того же региона Azure, где находятся данные.
В ответе могут быть возвращены некоторые дополнительные столбцы. Эти столбцы являются временными и могут быть удалены. Используйте только задокументированные столбцы.
| Свойство (идентификатор) | Тип данных | Описание |
|---|---|---|
| Экспорт файлов | array[string] | Список URL-адресов для скачивания файлов, содержащих текущие snapshot организации. |
| GeneratedTime | String | Время создания экспорта. |
2.6. Пример
2.6.1. Пример запроса
GET https://api.securitycenter.microsoft.com/api/machines/BaselineComplianceAssessmentExport
2.6.2. Пример ответа
{
"@odata.context": "https://api.securitycenter. contoso.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles":
[
"https://tvmexportexternalstgeus.blob.core.windows.net/temp-1ebd3d09-d06a-4aad-ab80-ebc536cec61c/2021-12-22/0500/BaselineAssessmentExport/json/OrgId= OrgId=<Org Id>/_RbacGroupId=<Rbac Group Id>/part-00000-c09dfd00-2278-4735-b23a-71733751fcbc.c000.json.gz?sv=ABCD",
"https://tvmexportexternalstgeus.blob.core.windows.net/temp-1ebd3d09-d06a-4aad-ab80-ebc536cec61c/2021-12-22/0500/BaselineAssessmentExport/json/OrgId=<Org Id>/_RbacGroupId=<Rbac Group Id>/part-00001-c09dfd00-2278-4735-b23a-71733751fcbc.c000.json.gz?sv= ABCD",
],
"generatedTime": "2021-01-11T11:01:00Z"
}
См. также
- Получение профилей оценки базовых показателей безопасности
- Получение конфигураций оценки базовых показателей безопасности
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по