导出每个设备的评估方法和属性
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 漏洞管理
- Microsoft Defender XDR
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
API 说明
提供有关基于每个设备拉取漏洞管理数据的 API 的方法和属性详细信息。 可通过不同的 API 调用来获取不同类型的数据。 通常,每个 API 调用都包含组织中设备的必要数据。
注意
除非另有说明,否则列出的所有导出评估方法是 完全导出 , 并且按设备 (也称为 按设备) 。
可以使用导出评估 API 检索 (导出) 不同类型的信息:
第 1、2 和 3 节介绍了与导出信息类型对应的 API。
每个方法都有不同的 API 调用来获取不同类型的数据。 由于数据量可能很大,因此可通过两种方式检索数据:
JSON 响应 API 会将组织中的所有数据作为 JSON 响应进行拉取。 此方法最适合 设备少于 100-K 的小型组织。 响应是分页的,因此可以使用响应中的 @odata.nextLink 字段来提取下一个结果。
通过 文件 借助此 API 解决方案,可以更快、更可靠地拉取大量数据。 因此,建议将它用于具有 100 K 个以上的设备的大型组织。 此 API 将组织中的所有数据作为下载文件拉取。 响应包含用于从 Azure 存储下载所有数据的 URL。 通过此 API,可以从 Azure 存储下载所有数据,如下所示:
- 调用 API 以获取包含所有组织数据的下载 URL 列表。
- 使用下载 URL 下载所有文件,并根据需要处理数据。
使用“JSON 响应或通过文件”收集的数据是当前状态的当前快照。 它不包含历史数据。 若要收集历史数据,客户必须将数据保存在自己的数据存储中。
1. 导出安全配置评估
返回每个设备的所有配置及其状态。
1.1 方法
| 方法 | 数据类型 | 说明 |
|---|---|---|
| 按设备集合进行安全配置。 请参阅: 1.2 JSON 响应 (属性) | 返回一个表,其中包含 DeviceId、ConfigurationId 的每个唯一组合的条目。 API 会将组织中的所有数据作为 JSON 响应进行拉取。 此方法最适合设备少于 100-K 的小型组织。 响应是分页的,因此可以使用 @odata.nextLink 响应中的 字段来提取下一个结果。 | |
| 按设备集合进行安全配置。 请参阅: 1.3 通过文件 (属性) | 返回一个表,其中包含 DeviceId、ConfigurationId 的每个唯一组合的条目。 借助此 API 解决方案,可以更快、更可靠地拉取大量数据。 因此,建议将它用于具有 100 K 个以上的设备的大型组织。 此 API 将组织中的所有数据作为下载文件拉取。 响应包含用于从 Azure 存储下载所有数据的 URL。 通过此 API,可以从 Azure 存储下载所有数据,如下所示:
|
1.2 JSON 响应) (属性
| 属性 (ID) | 数据类型 | 说明 |
|---|---|---|
| configurationCategory | String | 配置所属的类别或组:应用程序、OS、网络、帐户、安全控制。 |
| configurationId | String | 特定配置的唯一标识符。 |
| configurationImpact | String | 配置的总体配置分数的分级效果 (1-10) 。 |
| configurationName | String | 配置的显示名称。 |
| configurationSubcategory | String | 配置所属的子类别或子组。 在许多情况下,特定功能或特性。 |
| deviceId | String | 服务中设备的唯一标识符。 |
| deviceName | String | 设备的 FQDN) (完全限定的域名。 |
| isApplicable | Bool | 指示配置或策略是否适用。 |
| isCompliant | Bool | 指示配置或策略是否已正确配置。 |
| isExpectedUserImpact | Bool | 指示在将应用配置时用户是否受到影响。 |
| osPlatform | String | 在设备上运行的操作系统的平台。 同一系列中具有变体的特定操作系统,例如Windows 10和Windows 11。 有关详细信息 ,请参阅支持的操作系统、平台和功能 。 |
| osVersion | String | 在设备上运行的操作系统的特定版本。 |
| rbacGroupName | String | 基于角色的访问控制 (RBAC) 组。 如果设备未分配给任何 RBAC 组,则值为“未分配”。如果组织不包含任何 RBAC 组,则值为“无”。 |
| rbacGroupId | String | 基于角色的访问控制 (RBAC) 组 ID。 |
| recommendationReference | String | 对与软件相关的建议 ID 的引用。 |
| 时间 戳 | String | 上次在设备上看到配置的时间。 |
1.3 通过文件) (属性
| 属性 (ID) | 数据类型 | 说明 |
|---|---|---|
| 导出文件 | array[string] | 保存组织当前快照的文件的下载 URL 列表。 |
| GeneratedTime | String | 生成导出的时间。 |
2. 导出软件清单评估
返回每个设备上安装的所有软件及其详细信息。
2.1 方法
| 方法 | 数据类型 | 说明 |
|---|---|---|
| 导出软件清单评估 (JSON 响应) | 按设备收集的软件清单。 请参阅: 2.2 JSON 响应 (属性) | 返回一个表,其中包含 DeviceId、SoftwareVendor、SoftwareName、SoftwareVersion 的每个唯一组合的条目。 API 会将组织中的所有数据作为 JSON 响应进行拉取。 此方法最适合设备少于 100-K 的小型组织。 响应是分页的,因此可以使用 @odata.nextLink 响应中的 字段来提取下一个结果。 |
| 通过文件) 导出软件清单评估 ( | 按设备文件列出软件清单。 请参阅: 2.3 通过文件) (属性 | 返回一个表,其中包含 DeviceId、SoftwareVendor、SoftwareName、SoftwareVersion 的每个唯一组合的条目。 借助此 API 解决方案,可以更快、更可靠地拉取大量数据。 因此,建议将它用于具有 100 K 个以上的设备的大型组织。 此 API 将组织中的所有数据作为下载文件拉取。 响应包含用于从 Azure 存储下载所有数据的 URL。 此 API 允许从 Azure 存储下载数据,如下所示:
|
2.2 JSON 响应) (属性
| 属性 (ID) | 数据类型 | 说明 |
|---|---|---|
| DeviceId | String | 服务中设备的唯一标识符。 |
| DeviceName | String | 设备的 FQDN) (完全限定的域名。 |
| DiskPaths | Array[string] | 磁盘证明产品已安装在设备上。 |
| EndOfSupportDate | String | 对该软件的支持已结束或即将结束的日期。 |
| EndOfSupportStatus | String | 终止支持状态。 可以包含以下可能的值:None、EOS 版本、即将推出的 EOS 版本、EOS 软件、即将推出的 EOS 软件。 |
| NumberOfWeaknesses | Int | 此设备上此软件的弱点数。 |
| OSPlatform | String | 设备上运行的操作系统的平台;同一系列中具有变体的特定操作系统,例如Windows 10和Windows 11。 有关详细信息 ,请参阅支持的操作系统、平台和功能 。 |
| RbacGroupName | String | 基于角色的访问控制 (RBAC) 组。 如果此设备未分配给任何 RBAC 组,则值为“未分配”。如果组织不包含任何 RBAC 组,则值为“无”。 |
| rbacGroupId | String | 基于角色的访问控制 (RBAC) 组 ID。 |
| RegistryPaths | Array[string] | 注册表证明产品已安装在设备中。 |
| SoftwareFirstSeenTimestamp | String | 首次在设备上看到此软件。 |
| SoftwareName | String | 软件产品的名称。 |
| SoftwareVendor | String | 软件供应商的名称。 |
| SoftwareVersion | String | 软件产品的版本号。 |
2.3 通过文件) (属性
| 属性 (ID) | 数据类型 | 说明 |
|---|---|---|
| 导出文件 | array[string] | 保存组织当前快照的文件的下载 URL 列表。 |
| GeneratedTime | String | 生成导出的时间。 |
3. 导出软件漏洞评估
返回设备上所有已知漏洞及其详细信息(对于所有设备)。
3.1 方法
| 方法 | 数据类型 | 说明 |
|---|---|---|
| 调查集合请参阅: 3.2 属性 (JSON 响应) | 返回一个表,其中包含 DeviceId、SoftwareVendor、SoftwareName、SoftwareVersion、CveId 的每个唯一组合的条目。 API 会将组织中的所有数据作为 JSON 响应进行拉取。 此方法最适合设备少于 100-K 的小型组织。 响应是分页的,因此可以使用 @odata.nextLink 响应中的 字段来提取下一个结果。 | |
| 调查实体 请参阅: 3.3 通过文件 (属性) | 返回一个表,其中包含 DeviceId、SoftwareVendor、SoftwareName、SoftwareVersion、CveId 的每个唯一组合的条目。 借助此 API 解决方案,可以更快、更可靠地拉取大量数据。 因此,建议将它用于具有 100 K 个以上的设备的大型组织。 此 API 将组织中的所有数据作为下载文件拉取。 响应包含用于从 Azure 存储下载所有数据的 URL。 通过此 API,可以从 Azure 存储下载所有数据,如下所示:
|
|
| 调查集合请参阅: 3.4 属性增量导出 (JSON 响应) | 返回一个表,其中包含每个唯一组合的条目:DeviceId、SoftwareVendor、SoftwareName、SoftwareVersion、CveId 和 EventTimestamp。 API 以 JSON 响应的形式拉取组织中的数据。 响应是分页的,因此可以使用 @odata.nextLink 响应中的 字段来提取下一个结果。 完整的软件漏洞评估 (JSON 响应) 用于按设备获取组织软件漏洞评估的完整快照。 但是,增量导出 API 调用用于仅提取所选日期与当前日期之间发生的更改, (“delta”API 调用) 。 你只需获取有关新漏洞、已修复漏洞和更新漏洞的特定信息,而不是每次获取包含大量数据的完整导出。 增量导出 API 调用还可用于计算不同的 KPI,例如“修复了多少个漏洞?”或“向我的组织添加了多少个新漏洞?” 由于针对软件漏洞的 Delta 导出 API 调用仅返回目标日期范围的数据,因此它不被视为 完全导出。 |
3.2 JSON 响应) (属性
| 属性 (ID) | 数据类型 | 说明 |
|---|---|---|
| CveId | String | 分配给“常见漏洞和披露”下安全漏洞的唯一标识符 (CVE) 系统。 |
| CvssScore | String | CVE 的 CVSS 分数。 |
| DeviceId | String | 服务中设备的唯一标识符。 |
| DeviceName | String | 设备的 FQDN) (完全限定的域名。 |
| DiskPaths | Array[string] | 磁盘证明产品已安装在设备上。 |
| ExploitabilityLevel | String | 此漏洞的可利用级别 (NoExploit、ExploitIsPublic、ExploitIsVerified、ExploitIsInKit) |
| FirstSeenTimestamp | String | 首次在设备上看到此产品的 CVE。 |
| Id | String | 记录的唯一标识符。 |
| LastSeenTimestamp | String | 上次在设备上看到 CVE 的时间。 |
| OSPlatform | String | 设备上运行的操作系统的平台;同一系列中具有变体的特定操作系统,例如Windows 10和Windows 11。 有关详细信息 ,请参阅支持的操作系统、平台和功能 。 |
| RbacGroupName | String | 基于角色的访问控制 (RBAC) 组。 如果此设备未分配给任何 RBAC 组,则值为“未分配”。如果组织不包含任何 RBAC 组,则值为“无”。 |
| rbacGroupId | String | 基于角色的访问控制 (RBAC) 组 ID。 |
| RecommendationReference | String | 对与此软件相关的建议 ID 的引用。 |
| RecommendedSecurityUpdate | String | 软件供应商为解决漏洞而提供的安全更新的名称或说明。 |
| RecommendedSecurityUpdateId | String | 适用安全更新的标识符或相应指南或知识库 (知识库文章) 标识符。 |
| 注册表路径 | Array[string] | 注册表证明产品已安装在设备中。 |
| SecurityUpdateAvailable | 布尔值 | 指示安全更新是否可用于软件。 |
| SoftwareName | String | 软件产品的名称。 |
| SoftwareVendor | String | 软件供应商的名称。 |
| SoftwareVersion | String | 软件产品的版本号。 |
| VulnerabilitySeverityLevel | String | 根据 CVSS 分数分配给安全漏洞的严重性级别。 |
3.3 通过文件) (属性
| 属性 (ID) | 数据类型 | 说明 |
|---|---|---|
| 导出文件 | array[string] | 保存组织当前快照的文件的下载 URL 列表。 |
| GeneratedTime | String | 生成导出的时间。 |
3.4 增量导出 JSON 响应) (属性
| 属性 (ID) | 数据类型 | 说明 |
|---|---|---|
| CveId | String | 分配给“常见漏洞和披露”下安全漏洞的唯一标识符 (CVE) 系统。 |
| CvssScore | String | CVE 的 CVSS 分数。 |
| DeviceId | String | 服务中设备的唯一标识符。 |
| DeviceName | String | 设备的 FQDN) (完全限定的域名。 |
| DiskPaths | Array[string] | 磁盘证明产品已安装在设备上。 |
| EventTimestamp | String | 找到增量事件的时间。 |
| ExploitabilityLevel | String | 漏洞的可利用级别 (NoExploit、ExploitIsPublic、ExploitIsVerified、ExploitIsInKit) |
| FirstSeenTimestamp | String | 首次在设备上看到产品的 CVE。 |
| Id | String | 记录的唯一标识符。 |
| LastSeenTimestamp | String | 上次在设备上看到 CVE 的时间。 |
| OSPlatform | String | 设备上运行的操作系统的平台;同一系列中具有变体的特定操作系统,例如Windows 10和Windows 11。 有关详细信息 ,请参阅支持的操作系统、平台和功能 。 |
| RbacGroupName | String | 基于角色的访问控制 (RBAC) 组。 如果此设备未分配给任何 RBAC 组,则值为“未分配”。如果组织不包含任何 RBAC 组,则值为“无”。 |
| RecommendationReference | String | 对与此软件相关的建议 ID 的引用。 |
| RecommendedSecurityUpdate | String | 软件供应商为解决漏洞而提供的安全更新的名称或说明。 |
| RecommendedSecurityUpdateId | String | 适用安全更新的标识符或相应指南或知识库 (知识库文章的标识符) |
| RegistryPaths | Array[string] | 注册表证明产品已安装在设备中。 |
| SoftwareName | String | 软件产品的名称。 |
| SoftwareVendor | String | 软件供应商的名称。 |
| SoftwareVersion | String | 软件产品的版本号。 |
| 状态 | String | 设备) 上引入的新漏洞的新 (。 修复了 设备上不再存在的漏洞 (,这意味着已) 修复了漏洞。 更新 了已更改设备上漏洞的 (。可能的更改包括:CVSS 分数、可利用性级别、严重级别、DiskPaths、RegistryPaths、RecommendedSecurityUpdate) 。 |
| VulnerabilitySeverityLevel | String | 根据 CVSS 分数分配给安全漏洞的严重性级别。 |
4. 导出非产品代码软件清单评估
返回没有 公共平台枚举的所有已安装软件 (CPE) 及其在每个设备上的详细信息。
4.1 方法
| 方法 | 数据类型 | 说明 |
|---|---|---|
| 导出非产品代码软件清单评估 (JSON 响应) | 按设备收集的非产品代码软件清单。 请参阅: 4.2 属性 (JSON 响应) | 返回一个表,其中包含 DeviceId、SoftwareVendor、SoftwareName、SoftwareVersion 的每个唯一组合的条目。 API 会将组织中的所有数据作为 JSON 响应进行拉取。 此方法最适合设备少于 100-K 的小型组织。 响应是分页的,因此可以使用 @odata.nextLink 响应中的 字段来提取下一个结果。 |
| 通过文件) 导出非产品代码软件清单评估 ( | 按设备文件列出非产品代码软件清单。 请参阅: 4.3 通过文件) (属性 | 返回一个表,其中包含 DeviceId、SoftwareVendor、SoftwareName、SoftwareVersion 的每个唯一组合的条目。 借助此 API 解决方案,可以更快、更可靠地拉取大量数据。 因此,建议将它用于具有 100 K 个以上的设备的大型组织。 此 API 将组织中的所有数据作为下载文件拉取。 响应包含用于从 Azure 存储下载所有数据的 URL。 此 API 允许从 Azure 存储下载数据,如下所示:
|
4.2 JSON 响应) (属性
| 属性 (ID) | 数据类型 | 说明 |
|---|---|---|
| DeviceId | string | 服务中设备的唯一标识符。 |
| DeviceName | string | 设备的 FQDN) (完全限定的域名。 |
| OSPlatform | string | 在设备上运行的操作系统的平台。 这些是同一系列中具有变体的特定操作系统,例如Windows 10和Windows 11。 有关详细信息 ,请参阅支持的操作系统、平台和功能 。 |
| RbacGroupName | string | 基于角色的访问控制 (RBAC) 组。 如果此设备未分配给任何 RBAC 组,则值为“未分配”。如果组织不包含任何 RBAC 组,则值为“无”。 |
| RbacGroupId | string | 基于角色的访问控制 (RBAC) 组 ID。 |
| SoftwareLastSeenTimestamp | string | 上次在设备上看到此软件的时间。 |
| SoftwareName | string | 软件产品的名称。 |
| SoftwareVendor | string | 软件供应商的名称。 |
| SoftwareVersion | string | 软件产品的版本号。 |
4.3 通过文件) (属性
| 属性 (ID) | 数据类型 | 说明 |
|---|---|---|
| 导出文件 | array[string] | 保存组织当前快照的文件的下载 URL 列表。 |
| GeneratedTime | String | 生成导出的时间。 |
另请参阅
其他相关
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈