导出每个设备的安全基线评估

项目
04/26/2024

适用于：

想要体验Microsoft Defender 漏洞管理？详细了解如何注册Microsoft Defender 漏洞管理公共预览版试用版。

可通过不同的 API 调用来获取不同类型的数据。通常，每个 API 调用都包含组织中设备的必要数据。

JSON 响应 API 会将组织中的所有数据作为 JSON 响应进行拉取。此方法最适合 设备少于 100-K 的小型组织。响应是分页的，因此可以使用响应中的 @odata.nextLink 字段来提取下一个结果。
通过文件 借助此 API 解决方案，可以更快、更可靠地拉取大量数据。因此，建议将它用于具有 100 K 个以上的设备的大型组织。此 API 将组织中的所有数据作为下载文件拉取。响应包含用于从 Azure 存储下载所有数据的 URL。可以从 Azure 存储下载数据，如下所示：
- 调用 API 以获取包含所有组织数据的下载 URL 列表。
- 使用下载 URL 下载所有文件，并根据需要处理数据。

使用“JSON 响应或通过文件”收集的数据是当前状态的当前快照。它不包含历史数据。若要收集历史数据，客户必须将数据保存在自己的数据存储中。

注意

除非另有说明，否则列出的所有导出安全基线评估方法都是 完全导出 的， 并且按设备 (也称为 按设备)

1. 导出安全基线评估 (JSON 响应)

1.1 API 方法说明

返回针对每个设备的所有设备的所有安全基线评估。它返回一个表，其中包含 DeviceId、ProfileId 和 ConfigurationId 的每个唯一组合的单独条目。

1.2 权限

要调用此 API，需要以下权限之一。若要了解详细信息（包括如何选择权限），请参阅使用Microsoft Defender for Endpoint API 了解详细信息。

权限类型	权限	权限显示名称
应用程序	SecurityBaselinesAssessment.Read.All	“读取所有安全基线评估信息”
委派（工作或学校帐户）	SecurityBaselinesAssessment.Read	“读取安全基线评估信息”

1.3 限制

最大页面大小为 200,000。
此 API 的速率限制是每分钟 30 个调用和每小时 1000 个调用。

1.4 参数

pageSize (默认值 = 50,000) ：响应结果数。
$top：要返回的结果数 (不返回 @odata.nextLink ，因此不会拉取所有数据) 。

1.5 HTTP 请求

GET /api/machines/baselineComplianceAssessmentByMachine

1.6 JSON 响应) (属性

注意

每个记录大约是 1 KB 的数据。选择正确的 pageSize 参数时，应考虑到这一点。

响应中可能会返回一些其他列。这些列是临时的，可能会删除。仅使用记录的列。

下表中定义的属性按属性 ID 的字母顺序列出。运行此 API 时，生成的输出不一定按此表中列出的相同顺序返回。

属性 (ID)	数据类型	说明
configurationId	String	基线基准中特定配置的唯一标识符。
profileId	String	评估的配置文件的唯一标识符。
deviceId	String	服务中设备的唯一标识符。
deviceName	String	设备的 FQDN) (完全限定的域名。
isApplicable	布尔值	指示配置是否适用于此设备。
isCompliant	布尔值	指示设备是否符合配置。
id	String	记录的唯一标识符，它是 DeviceId、ProfileId 和 ConfigurationId 的组合。
osVersion	String	在设备上运行的操作系统的特定版本。
osPlatform	String	在设备上运行的操作系统平台。同一系列中具有变体的特定操作系统，例如Windows 10和Windows 11。有关详细信息，请参阅 MDVM 支持的操作系统和平台。
rbacGroupId	Int	基于角色的访问控制 (RBAC) 组 ID。如果设备未分配给任何 RBAC 组，则值为“未分配”。如果组织不包含任何 RBAC 组，则值为“无”。
rbacGroupName	String	基于角色的访问控制 (RBAC) 组。如果设备未分配给任何 RBAC 组，则值为“未分配”。如果组织不包含任何 RBAC 组，则值为“无”。
DataCollectionTimeOffset	日期时间	从设备收集数据的时间。如果未收集数据，则可能不会显示此字段。
ComplianceCalculationTimeOffset	日期时间	进行评估计算的时间。
RecommendedValue	String	要投诉的当前设备设置的预期值集。
CurrentValue	String	在设备上找到的一组检测到的值。
Source	字符串	用于确定当前设备设置的注册表路径或其他位置。

1.7 示例

1.7.1 请求示例

GET https://api.securitycenter.microsoft.com/api/machines/BaselineComplianceAssessmentByMachine

1.7.2 响应示例

{
"@odata.context": " https://api.securitycenter.microsoft.com /api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetBaselineAssessment)",
"value": [
{
    "id": "0000682575d5d473e82ed4d8680425d152411251_9e1b90be-e83e-485b-a5ec-4a429412e734_1.1.1",
    "configurationId": "1.1.1",
    "deviceId": "0000682575d5d473242222425d152411251",
    "deviceName": " ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596 ",
    "profileId": "9e1b90be-e83e-485b-a5ec-4a429412e734",
    "osPlatform": "WindowsServer2019",
    "osVersion": "10.0.17763.2330",
    "rbacGroupId": 86,
    "rbacGroupName": "UnassignedGroup",
    "isApplicable": true,
    "isCompliant": false,
    "dataCollectionTimeOffset": "2021-12-22T00:08:02.478Z",
    "recommendedValue": [
                    "Greater than or equal '24'"
                ],
                "currentValue": [
                    "24"
                ],
                "source": [
                    "password_hist_len"
                ],
}

2. 通过文件) 导出安全基线评估 (

2.1 API 方法说明

返回针对每个设备的所有设备的所有安全基线评估。它返回一个表，其中包含 DeviceId、ProfileId 和 ConfigurationId 的每个唯一组合的单独条目。

2.2 限制

此 API 的速率限制是每分钟 5 个调用和每小时 20 个调用。

2.3 URL

GET /api/machines/BaselineComplianceAssessmentExport

2.4 参数

sasValidHours：下载 URL 在最长 24 小时) (有效小时数。

2.5 通过文件) (属性

注意

这些文件是多行 Json 格式的 gzip 压缩 &。

下载 URL 仅在 3 小时内有效;否则可以使用参数。

若要最大程度地提高下载速度，请确保从数据所在的同一 Azure 区域下载数据。