获取实时响应结果
适用于:
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
注意
如果你是美国政府客户,请使用 适用于美国政府客户的 Microsoft Defender for Endpoint 中列出的 URI。
提示
为了提高性能,可以使用离地理位置更近的服务器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API 说明
按索引检索特定实时响应命令结果。
限制
- 此 API 的速率限制是每分钟 100 个调用和每小时 1500 个调用。
最低要求
在设备上启动会话之前,请确保满足以下要求:
验证你运行的是受支持的 Windows 版本。
设备必须运行以下 Windows 版本之一
Windows 11
Windows 10
Windows Server 2019 - 仅适用于公共预览版
- 版本 1903 或 (KB4515384) 更高版本
- 具有 KB4537818) 的版本 1809 (
Windows Server 2022
权限
要调用此 API,需要以下权限之一。 若要了解详细信息(包括如何选择权限),请参阅 入门。
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Machine.Read.All | 读取所有计算机配置文件 |
| 应用程序 | Machine.ReadWrite.All | 读取和写入所有计算机信息 |
| 委派(工作或学校帐户) | Machine.LiveResponse | 在特定计算机上运行实时响应 |
HTTP 请求
GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})
请求标头
| 名称 | 类型 | 说明 |
|---|---|---|
| Authorization | String | 持有者 {token}。 必填。 |
请求正文
Empty
响应
如果成功,此方法返回 200,Ok 响应代码,其中包含指向命令的链接的 对象,结果为 value 属性。 此链接的有效期为 30 分钟,应立即用于将包下载到本地存储。 过期的链接可以通过另一个调用重新创建,并且无需再次运行实时响应。
Runscript 脚本属性:
| 属性 | 说明 |
|---|---|
| script_name | 执行的脚本名称 |
| exit_code | 执行的脚本退出代码 |
| script_output | 执行脚本标准输出 |
| script_errors | 执行脚本标准错误输出 |
示例
请求示例
下面是请求的示例。
GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)
响应示例
以下是响应示例。
HTTP/1.1 200 Ok
Content-type:application/json
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
"value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}
文件内容:
{
"script_name": "minidump.ps1",
"exit_code": 0,
"script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
"script_errors":""
}
相关文章
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。