Cihazda canlı yanıt komutlarını çalıştırma

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 2

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Not

ABD Kamu müşterisiyseniz lütfen US Government müşterileri için Uç Nokta için Microsoft Defender'de listelenen URI'leri kullanın.

İpucu

Daha iyi performans için coğrafi konumunuza daha yakın olan sunucuyu kullanabilirsiniz:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

API açıklaması

Bir cihazda bir dizi canlı yanıt komutu çalıştırır

Sınırlamalar

1. Bu API için hız sınırlamaları dakikada 10 çağrıdır (ek istekler HTTP 429 ile yanıtlanır).

2. Eşzamanlı olarak çalışan 25 oturum (azaltma sınırını aşan istekler "429 - Çok fazla istek" yanıtı alır).

3. Makine kullanılamıyorsa oturum üç güne kadar kuyruğa alınır.

4. RunScript komutu 10 dakika sonra zaman aşımına ular.

5. Canlı yanıt komutları kuyruğa alınamaz ve aynı anda yalnızca bir tane yürütülebilir.

6. Bu API çağrısını çalıştırmaya çalıştığınız makine, kendisine otomatik düzeltme düzeyi atanmamış bir RBAC cihaz grubundaysa, en azından belirli bir Cihaz Grubu için en düşük Düzeltme Düzeyini etkinleştirmeniz gerekir.

   Not

   Cihaz grubu oluşturma, Uç Nokta Için Defender Plan 1 ve Plan 2'de desteklenir.

7. Tek bir API çağrısında birden çok canlı yanıt komutu çalıştırılabilir. Ancak canlı yanıt komutu başarısız olduğunda sonraki tüm eylemler yürütülmeyecek.

8. Aynı makinede birden çok canlı yanıt oturumu yürütülemez (canlı yanıt eylemi zaten çalışıyorsa, sonraki isteklere HTTP 400 - ActiveRequestAlreadyExists ile yanıtlanır).

Not

Cihaz sayfasından başlatılan canlı yanıt eylemleri machineactions API'sinde kullanılamaz.

En Düşük Gereksinimler

Bir cihazda oturum başlatabilmeniz için önce aşağıdaki gereksinimleri karşıladığınızdan emin olun:

• Desteklenen bir Windows, macOS veya Linux sürümü çalıştırdığınızı doğrulayın.

  Cihazların aşağıdakilerden birini çalıştırması gerekir:

  • Windows 11

  • Windows 10

    • Sürüm 1909 veya üzeri
    • KB4515384 ile Sürüm 1903
    • KB4537818 ile sürüm 1809 (RS 5)
    • KB4537795 ile Sürüm 1803 (RS 4)
    • KB4537816 ile Sürüm 1709 (RS 3)

  • Windows Server 2019 - Yalnızca Genel önizleme için geçerlidir

    • Sürüm 1903 veya ( KB4515384 ile) daha sonra
    • Sürüm 1809 ( KB4537818 ile)

  • Windows Server 2022

  • macOS(ek yapılandırma profilleri gerektirir)

    • 13 (Ventura)
    • 12 (Monterey)
    • 11 (Big Sur)

  • Linux

    • Desteklenen Linux sunucu dağıtımları ve çekirdek sürümleri

İzinler

Bu API'yi çağırmak için aşağıdaki izinlerden biri gereklidir. İzinlerin nasıl seçileceği de dahil olmak üzere daha fazla bilgi edinmek için bkz. Kullanmaya başlama.

İzin türü	İzin	İzin görünen adı
Uygulama	Machine.LiveResponse	Belirli bir makinede canlı yanıt çalıştırma
Temsilci (iş veya okul hesabı)	Machine.LiveResponse	Belirli bir makinede canlı yanıt çalıştırma

HTTP isteği

POST https://api.securitycenter.microsoft.com/API/machines/{machine_id}/runliveresponse

İstek üst bilgileri

Name	Tür	Açıklama
Yetkilendirme	Dize	Taşıyıcı<belirteci>. Gerekli.
İçerik Türü	Dize	application/json. Gerekli.

İstek gövdesi

Parametre	Tür	Açıklama
Açıklama ekleme	Dize	Eylemle ilişkilendirilecek açıklama.
Komut	Dizi	Çalıştırılacak komutlar. İzin verilen değerler PutFile, RunScript, GetFile 'dır (yineleme sınırı olmadan bu sırada olmalıdır).

Komut

Komut Türü	Parametre	Açıklama
PutFile	Anahtar: FileName Değer: <dosya adı>	Kitaplıktan cihaza bir dosya yerleştirir. Dosyalar çalışma klasörüne kaydedilir ve cihaz varsayılan olarak yeniden başlatıldığında silinir. NOT: Yanıt sonucu yoktur.
Runscript	Anahtar: ScriptName Değer: <Kitaplıktan betik> Anahtar: Args Değer: <Betik bağımsız değişkenleri>	Bir cihazdaki kitaplıktan betik çalıştırır. Args parametresi betiğinize geçirilir. 10 dakika sonra zaman aşımları.
Getfile	Anahtar: Yol Değer: <Dosya yolu>	Bir cihazdan dosya toplayın. NOT: Yoldaki ters eğik çizgilerden kaçınılmalıdır.

Yanıt

• Başarılı olursa, bu yöntem 201 Oluşturuldu değerini döndürür.

  Eylem varlığı. Belirtilen kimlikli makine bulunamadıysa - 404 Bulunamadı.

Örnek

İstek örneği

burada isteğin bir örneği verilmiş.

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/runliveresponse

```JSON
{
   "Commands":[
      {
         "type":"RunScript",
         "params":[
            {
               "key":"ScriptName",
               "value":"minidump.ps1"
            },
            {
               "key":"Args",
               "value":"OfficeClickToRun"
            }

         ]
      },
      {
         "type":"GetFile",
         "params":[
            {
               "key":"Path",
               "value":"C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
            }
         ]
      }
   ],
   "Comment":"Testing Live Response API"
}

Yanıt örneği

Yanıtın bir örneğini aşağıda bulabilirsiniz.

Her komut durumu için olası değerler "Oluşturuldu", "Tamamlandı" ve "Başarısız" şeklindedir.

HTTP/1.1 200 Ok

İçerik türü: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#MachineActions/$entity",
    "id": "{machine_action_id}",
    "type": "LiveResponse",
    "requestor": "analyst@microsoft.com",
    "requestorComment": "Testing Live Response API",
    "status": "Pending",
    "machineId": "{machine_id}",
    "computerDnsName": "hostname",
    "creationDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
    "lastUpdateDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
    "errorHResult": 0,
    "commands": [
        {
            "index": 0,
            "startTime": null,
            "endTime": null,
            "commandStatus": "Created",
            "errors": [],
            "command": {
                "type": "RunScript",
                "params": [
                    {
                        "key": "ScriptName",
                        "value": "minidump.ps1"
                    },{
                        "key": "Args",
                        "value": "OfficeClickToRun"
                    }
                ]
            }
        }, {
            "index": 1,
            "startTime": null,
            "endTime": null,
            "commandStatus": "Created",
            "errors": [],
            "command": {
                "type": "GetFile",
                "params": [{
                        "key": "Path", "value": "C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
                    }
                ]
            }
        }
    ]
}

İlgili konular

• Makine eylem API'si alma
• Canlı yanıt sonucu al
• Makine eylemini iptal et

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.