Получение результатов динамического ответа

  • Статья
  • Чтение занимает 2 мин

Область применения:

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Если вы клиент для государственных организаций США, используйте универсальные коды ресурса (URI), перечисленные Microsoft Defender для конечной точки для государственных организаций США.

Совет

Для повышения производительности можно использовать сервер ближе к географическому расположению:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

Описание API

Извлекает определенный результат команды динамического ответа по его индексу.

Ограничения

  1. Ограничения скорости для этого API : 100 вызовов в минуту и 1500 вызовов в час.

Минимальные требования

Прежде чем начать сеанс на устройстве, убедитесь, что выполнены следующие требования:

Разрешения

Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье "Начало работы".

Тип разрешения Разрешение Отображаемое имя разрешения
Application Machine.Read.All "Чтение всех профилей компьютеров"
Application "Machine.ReadWrite.All "Чтение и запись всех сведений о компьютере"
Делегированные (рабочая или учебная учетная запись) Machine.LiveResponse Выполнение динамического ответа на определенном компьютере

HTTP-запрос

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

Заголовки запросов

Имя Тип Описание
Авторизация String Носитель {token}. Обязательно.

Текст запроса

переменная Empty

Отклик

В случае успешного выполнения этот метод возвращает код отклика 200 ОК с объектом, который содержит ссылку на команду, в результате которого свойство value . Эта ссылка действителен в течение 30 минут и должна использоваться немедленно для скачивания пакета в локальное хранилище. Ссылка с истекшим сроком действия может быть повторно создана другим вызовом, и нет необходимости повторно запускать динамический ответ.

Свойства расшифровки Runscript:

Свойство Описание
script_name Имя выполненного скрипта
exit_code Код выхода выполненного скрипта
script_output Стандартные выходные данные выполненного скрипта
script_errors Вывод стандартных ошибок выполненного скрипта

Пример

Пример запроса

Ниже приведен пример запроса.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Пример ответа

Ниже приведен пример отклика.

HTTP/1.1 200 Ok

Тип контента: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Содержимое файла:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}