导出每个设备的安全配置评估

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 漏洞管理
• Microsoft Defender XDR

希望体验 Microsoft Defender for Endpoint？ 注册免费试用版。

返回每个设备的所有配置及其状态。

可通过不同的 API 调用来获取不同类型的数据。 由于数据量可能很大，因此可通过两种方式检索数据：

• 导出安全配置评估 JSON 响应：API 将组织中的所有数据作为 Json 响应拉取。 此方法最适合 设备少于 100-K 的小型组织。 响应是分页的，因此可以使用响应中的 @odata.nextLink 字段来提取下一个结果。

• 通过文件导出安全配置评估：此 API 解决方案支持更快、更可靠地拉取大量数据。 因此，建议将它用于具有 100-K 个以上的设备的大型组织。 此 API 将组织中的所有数据作为下载文件拉取。 响应包含用于从 Azure 存储下载所有数据的 URL。 通过此 API，可以从 Azure 存储下载所有数据，如下所示：

  • 调用 API 以获取包含所有组织数据的下载 URL 列表。

  • 使用下载 URL 下载所有文件，并根据需要处理数据。

使用 JSON 响应或通过文件) (收集的数据是当前状态的当前快照，不包含历史数据。 为了收集历史数据，客户必须将数据保存在自己的数据存储中。

注意

除非另有说明，否则列出的所有导出评估方法是 完全导出 ， 并且按设备 (也称为 按设备) 。

1. 导出安全配置评估 (JSON 响应)

1.1 API 方法说明

此 API 响应包含公开设备上的安全配置评估，并返回 DeviceId、ConfigurationId 的每个唯一组合的条目。

1.1.1 限制

• 最大页面大小为 200,000。

• 此 API 的速率限制是每分钟 30 个调用和每小时 1000 个调用。

1.2 权限

要调用此 API，需要以下权限之一。 若要了解详细信息（包括如何选择权限），请参阅使用Microsoft Defender for Endpoint API 了解详细信息。

权限类型	权限	权限显示名称
应用程序	Vulnerability.Read.All	“读取威胁和漏洞管理漏洞信息”
委派（工作或学校帐户）	Vulnerability.Read	“读取威胁和漏洞管理漏洞信息”

1.3 URL

GET /api/machines/SecureConfigurationsAssessmentByMachine

1.4 参数

• pageSize (默认值 = 50,000) ：响应结果数。
• $top：要返回 (的结果数不会返回@odata.nextLink，因此不会拉取所有数据) 。

1.5 属性

注意

• 下表中定义的属性按属性 ID 按字母顺序列出。 运行此 API 时，生成的输出不一定按此表中列出的相同顺序返回。
• 响应中可能会返回一些其他列。 这些列是临时的，可能会删除，请仅使用记录的列。

---

属性 (ID)	数据类型	说明	返回值的示例
ConfigurationCategory	string	配置所属的类别或分组：应用程序、OS、网络、帐户、安全控件	安全控制措施
ConfigurationId	string	特定配置的唯一标识符	scid-10000
ConfigurationImpact	string	配置对总体配置评分的影响程度 (1-10)	9
ConfigurationName	string	配置的显示名称	将设备载入到 Microsoft Defender for Endpoint
ConfigurationSubcategory	string	配置所属的子类别或子组。 在许多情况下，它用于描述特定的功能。	载入设备
DeviceId	string	服务中设备的唯一标识符。	9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1
DeviceName	string	设备的 FQDN) (完全限定的域名。	johnlaptop.europe.contoso.com
IsApplicable	布尔值	指示配置或策略是否适用	true
IsCompliant	布尔值	指示是否正确配置了配置或策略	false
IsExpectedUserImpact	布尔值	指示如果应用配置，是否会对用户造成影响	true
OSPlatform	string	在设备上运行的操作系统的平台。 这表示特定的操作系统，包括同一系列中的变体，例如Windows 10和Windows 11。 有关详细信息，请参阅 Microsoft Defender 漏洞管理 (MDVM) 支持的操作系统和平台。	Windows10 和 Windows 11
RbacGroupName	string	基于角色的访问控制 (RBAC) 组。 如果此设备未分配给任何 RBAC 组，则值为“未分配”。如果组织不包含任何 RBAC 组，则值为“无”。	服务器
RecommendationReference	string	对与此软件相关的建议 ID 的引用。	sca-_-scid-20000
Timestamp	string	上次在设备上看到配置的时间	2020-11-03 10:13:34.8476880

1.6 示例

1.6.1 请求示例

GET https://api.securitycenter.microsoft.com/api/machines/SecureConfigurationsAssessmentByMachine?pageSize=5

1.6.2 响应示例

{
    "@odata.context": "api.securitycenter.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetConfiguration)",
    "value": [
        {
            "deviceId": "00013ee62c6b12345b10214e1801b217b50ab455c293d",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_5d96860d69c73fdd06fc8d1679e1eb73eceb8330",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "NT kernel 6.x",
            "timestamp": "2021-01-11 09:47:58.854",
            "configurationId": "scid-10000",
            "configurationCategory": "Network",
            "configurationSubcategory": "",
            "configurationImpact": 5,
            "isCompliant": true,
            "isApplicable": true,
            "isExpectedUserImpact": false,
            "configurationName": "Disable insecure administration protocol - Telnet",
            "recommendationReference": "sca-_-scid-10000"
        },
        {
            "deviceId": "0002a1be533813b9a8c6de739785365bce7910",
            "rbacGroupName": "hhh",
            "deviceName": null,
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0",
            "timestamp": "2021-01-11 09:47:58.854",
            "configurationId": "scid-20000",
            "configurationCategory": "Security controls",
            "configurationSubcategory": "Onboard Devices",
            "configurationImpact": 9,
            "isCompliant": false,
            "isApplicable": true,
            "isExpectedUserImpact": false,
            "configurationName": "Onboard devices to Microsoft Defender for Endpoint",
            "recommendationReference": "sca-_-scid-20000"
        },
        {
            "deviceId": "0002a1de123456a8c06de736785395d4ce7610",
            "rbacGroupName": "hhh",
            "deviceName": null,
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0",
            "timestamp": "2021-01-11 09:47:58.854",
            "configurationId": "scid-10000",
            "configurationCategory": "Network",
            "configurationSubcategory": "",
            "configurationImpact": 5,
            "isCompliant": true,
            "isApplicable": true,
            "isExpectedUserImpact": false,
            "configurationName": "Disable insecure administration protocol - Telnet",
            "recommendationReference": "sca-_-scid-10000"
        },
        {
            "deviceId": "00044f912345bdaf756492dbe6db733b6a9c59ab4",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_18663d45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eeb80b086e76bdfa178eadfa25e8de9acfa346.corp.contoso.com",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.17763.1637",
            "timestamp": "2021-01-11 09:47:58.854",
            "configurationId": "scid-39",
            "configurationCategory": "OS",
            "configurationSubcategory": "",
            "configurationImpact": 5,
            "isCompliant": true,
            "isApplicable": true,
            "isExpectedUserImpact": false,
            "configurationName": "Enable 'Domain member: Digitally sign secure channel data (when possible)'",
            "recommendationReference": "sca-_-scid-39"
        },
        {
            "deviceId": "00044f912345daf759462bde6bd733d6a9c56ab4",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_18663b45612eeb224d2de2f5ea3142726e63f16a.DomainPII_21eed80d086e76dbfa178eadfa25e8be9acfa346.corp.contoso.com",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.17763.1637",
            "timestamp": "2021-01-11 09:47:58.854",
            "configurationId": "scid-6093",
            "configurationCategory": "Security controls",
            "configurationSubcategory": "Antivirus",
            "configurationImpact": 5,
            "isCompliant": false,
            "isApplicable": false,
            "isExpectedUserImpact": false,
            "configurationName": "Enable Microsoft Defender Antivirus real-time behavior monitoring for Linux",
            "recommendationReference": "sca-_-scid-6093"
        }
    ],
    "@odata.nextLink": "https://api.securitycenter.microsoft.com/api/machines/SecureConfigurationsAssessmentByMachine?pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}

2. 通过文件) 导出安全配置评估 (

2.1 API 方法说明

此 API 响应包含公开设备上的安全配置评估，并返回 DeviceId、ConfigurationId 的每个唯一组合的条目。

2.1.1 限制

此 API 的速率限制是每分钟 5 个调用和每小时 20 个调用。

2.2 权限

要调用此 API，需要以下权限之一。 若要了解详细信息（包括如何选择权限），请参阅使用 Microsoft Defender for Endpoint API 了解详细信息。

权限类型	权限	权限显示名称
应用程序	Vulnerability.Read.All	“读取威胁和漏洞管理漏洞信息”
委派（工作或学校帐户）	Vulnerability.Read	“读取威胁和漏洞管理漏洞信息”

2.3 URL

GET /api/machines/SecureConfigurationsAssessmentExport

参数

• sasValidHours：下载 URL 在最长 24 小时) (有效小时数。

2.5 属性

注意

• 这些文件是多行 Json 格式的 gzip 压缩 &。
• 下载 URL 仅在 3 小时内有效;否则可以使用 参数。
• 为了获得数据的最大下载速度，可以确保从数据所在的同一 Azure 区域进行下载。

---

属性 (ID)	数据类型	说明	返回值的示例
导出文件	array[string]	保存组织当前快照的文件的下载 URL 列表	["Https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...1", "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...2"]
GeneratedTime	string	生成导出的时间。	2021-05-20T08：00：00Z

2.6 示例

2.6.1 请求示例

GET https://api.securitycenter.microsoft.com/api/machines/SecureConfigurationsAssessmentExport

2.6.2 响应示例

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#contoso.windowsDefenderATP.api.ExportFilesResponse",
    "exportFiles": [
        "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/ScaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-e423630d-4c69-4490-8769-a4f5468c4f25.c000.json.gz?sv=2019-12-12&st=2021-01-11T11%3A55%3A51Z&se=2021-01-11T14%3A55%3A51Z&sr=b&sp=r&sig=...",
        "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/ScaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00394-e423630d-4c69-4490-8769-a4f5468c4f25.c000.json.gz?sv=2019-12-12&st=2021-01-11T11%3A55%3A51Z&se=2021-01-11T14%3A55%3A51Z&sr=b&sp=r&sig=...",
        "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/ScaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00394-e423630d-4c69-4490-8769-a4f5468c4f25.c001.json.gz?sv=2019-12-12&st=2021-01-11T11%3A55%3A51Z&se=2021-01-11T14%3A55%3A51Z&sr=b&sp=r&sig=..."
    ],
    "generatedTime": "2021-01-11T11:01:00Z"
}

另请参阅

• 导出每个设备的评估方法和属性
• 导出每台设备的软件清单评估
• 导出每个设备的软件漏洞评估

其他相关

• Microsoft Defender 漏洞管理
• 组织中的漏洞

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。