Cihazda canlı yanıt komutlarını çalıştırma
Şunlar için geçerlidir:
Önemli
Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Not
ABD Kamu müşterisiyseniz lütfen US Government müşterileri için Uç Nokta için Microsoft Defender'da listelenen URI'leri kullanın.
İpucu
Daha iyi performans için coğrafi konumunuza daha yakın olan sunucuyu kullanabilirsiniz:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API açıklaması
Bir cihazda bir dizi canlı yanıt komutu çalıştırır
Sınırlamalar
Bu API için hız sınırlamaları dakikada 10 çağrıdır (ek istekler HTTP 429 ile yanıtlanır).
Eşzamanlı olarak çalışan 25 oturum (azaltma sınırını aşan istekler "429 - Çok fazla istek" yanıtı alır).
Makine kullanılamıyorsa oturum üç güne kadar kuyruğa alınır.
RunScript komutu 10 dakika sonra zaman aşımına ular.
Canlı yanıt komutları kuyruğa alınamaz ve aynı anda yalnızca bir tane yürütülebilir.
Bu API çağrısını çalıştırmaya çalıştığınız makine, kendisine otomatik düzeltme düzeyi atanmamış bir RBAC cihaz grubundaysa, en azından belirli bir Cihaz Grubu için en düşük Düzeltme Düzeyini etkinleştirmeniz gerekir.
Not
Cihaz grubu oluşturma, Uç Nokta Için Defender Plan 1 ve Plan 2'de desteklenir.
Tek bir API çağrısında birden çok canlı yanıt komutu çalıştırılabilir. Ancak canlı yanıt komutu başarısız olduğunda sonraki tüm eylemler yürütülmeyecek.
Aynı makinede birden çok canlı yanıt oturumu yürütülemez (canlı yanıt eylemi zaten çalışıyorsa, sonraki isteklere HTTP 400 - ActiveRequestAlreadyExists ile yanıtlanır).
Not
Cihaz sayfasından başlatılan canlı yanıt eylemleri machineactions API'sinde kullanılamaz.
En Düşük Gereksinimler
Bir cihazda oturum başlatabilmeniz için önce aşağıdaki gereksinimleri karşıladığınızdan emin olun:
Desteklenen bir Windows, macOS veya Linux sürümü çalıştırdığınızı doğrulayın.
Cihazların aşağıdakilerden birini çalıştırması gerekir:
Windows 11
Windows 10
Windows Server 2019 - Yalnızca Genel önizleme için geçerlidir
Windows Server 2022
macOS(ek yapılandırma profilleri gerektirir)
- 13 (Ventura)
- 12 (Monterey)
- 11 (Big Sur)
Linux
İzinler
Bu API'yi çağırmak için aşağıdaki izinlerden biri gereklidir. İzinlerin nasıl seçileceği de dahil olmak üzere daha fazla bilgi edinmek için bkz. Kullanmaya başlama.
| İzin türü | İzin | İzin görünen adı |
|---|---|---|
| Uygulama | Machine.LiveResponse | Belirli bir makinede canlı yanıt çalıştırma |
| Temsilci (iş veya okul hesabı) | Machine.LiveResponse | Belirli bir makinede canlı yanıt çalıştırma |
HTTP isteği
POST https://api.securitycenter.microsoft.com/API/machines/{machine_id}/runliveresponse
İstek üst bilgileri
| Name | Tür | Açıklama |
|---|---|---|
| İzin | Dize | Taşıyıcı<belirteci>. Gerekli. |
| İçerik Türü | dize | application/json. Gerekli. |
İstek gövdesi
| Parametre | Tür | Açıklama |
|---|---|---|
| Açıklama ekleme | Dize | Eylemle ilişkilendirilecek açıklama. |
| Komut | Dizi | Çalıştırılacak komutlar. İzin verilen değerler PutFile, RunScript, GetFile 'dır (yineleme sınırı olmadan bu sırada olmalıdır). |
Komut
| Komut Türü | Parametre | Açıklama |
|---|---|---|
| PutFile | Anahtar: FileName Değer: <dosya adı> |
Kitaplıktan cihaza bir dosya yerleştirir. Dosyalar çalışma klasörüne kaydedilir ve cihaz varsayılan olarak yeniden başlatıldığında silinir. NOT: Yanıt sonucu yoktur. |
| RunScript | Anahtar: ScriptName Değer: <Kitaplıktan betik> Anahtar: Args |
Bir cihazdaki kitaplıktan betik çalıştırır. Args parametresi betiğinize geçirilir. 10 dakika sonra zaman aşımları. |
| GetFile | Anahtar: Yol Değer: <Dosya yolu> |
Bir cihazdan dosya toplayın. NOT: Yoldaki ters eğik çizgilerden kaçınılmalıdır. |
Yanıt
Başarılı olursa, bu yöntem 201 Oluşturuldu değerini döndürür.
Eylem varlığı. Belirtilen kimlikli makine bulunamadıysa - 404 Bulunamadı.
Örnek
İstek örneği
burada isteğin bir örneği verilmiş.
POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/runliveresponse
```JSON
{
"Commands":[
{
"type":"RunScript",
"params":[
{
"key":"ScriptName",
"value":"minidump.ps1"
},
{
"key":"Args",
"value":"OfficeClickToRun"
}
]
},
{
"type":"GetFile",
"params":[
{
"key":"Path",
"value":"C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
}
]
}
],
"Comment":"Testing Live Response API"
}
Yanıt örneği
Yanıtın bir örneğini aşağıda bulabilirsiniz.
Her komut durumu için olası değerler "Oluşturuldu", "Tamamlandı" ve "Başarısız" şeklindedir.
HTTP/1.1 200 Ok
İçerik türü: application/json
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#MachineActions/$entity",
"id": "{machine_action_id}",
"type": "LiveResponse",
"requestor": "analyst@microsoft.com",
"requestorComment": "Testing Live Response API",
"status": "Pending",
"machineId": "{machine_id}",
"computerDnsName": "hostname",
"creationDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
"lastUpdateDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
"errorHResult": 0,
"commands": [
{
"index": 0,
"startTime": null,
"endTime": null,
"commandStatus": "Created",
"errors": [],
"command": {
"type": "RunScript",
"params": [
{
"key": "ScriptName",
"value": "minidump.ps1"
},{
"key": "Args",
"value": "OfficeClickToRun"
}
]
}
}, {
"index": 1,
"startTime": null,
"endTime": null,
"commandStatus": "Created",
"errors": [],
"command": {
"type": "GetFile",
"params": [{
"key": "Path", "value": "C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
}
]
}
}
]
}
İlgili konular
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.