Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Возможность экспорта уязвимостей программного обеспечения для каждого устройства возвращает все известные уязвимости программного обеспечения и их сведения для всех устройств на основе каждого устройства. Если не указано иное, все перечисленные методы оценки экспорта полностью экспортируются и по устройству (также называются по устройству).
Различные вызовы API получают данные разных типов. Так как объем данных может быть большим, их можно извлечь тремя способами:
Экспорт оценки уязвимостей программного обеспечения: ответ JSON API извлекает все данные в организации в виде ответов JSON. Этот метод лучше всего подходит для небольших организаций с менее чем 100 тыс. устройств. Ответ разбиется на страницы, поэтому для получения следующих результатов можно использовать поле @odata.nextLink из ответа.
Экспорт оценки уязвимостей программного обеспечения: с помощью файлов Это решение API позволяет быстрее и надежнее извлекать большие объемы данных. Via-files рекомендуется использовать для крупных организаций с более чем 100-тысячными устройствами. Этот API извлекает все данные в вашей организации в виде файлов скачивания. Ответ содержит URL-адреса для скачивания всех данных из хранилища Azure. Этот API позволяет скачивать все данные из хранилища Azure следующим образом:
- Вызовите API, чтобы получить список URL-адресов для скачивания со всеми данными организации.
- Скачайте все файлы с помощью URL-адресов для скачивания и обработайте данные по мере того, как вам нравится.
Оценка уязвимостей программного обеспечения разностного экспорта: ответ JSON Возвращает таблицу с записью для каждого уникального сочетания: DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId и EventTimestamp. API извлекает данные в организации в виде ответов JSON. Ответ разбиется на страницы, поэтому вы можете использовать @odata.nextLink поле из ответа для получения следующих результатов.
Полная оценка уязвимостей программного обеспечения (ответ JSON) используется для получения полного snapshot оценки уязвимостей программного обеспечения вашей организации по устройствам. Однако вызов API разностного экспорта используется для получения только изменений, произошедших между выбранной датой и текущей датой (вызов API delta). Вместо того чтобы каждый раз получать полный экспорт с большим объемом данных, вы получаете только конкретную информацию о новых, исправленных и обновленных уязвимостях. Вызов API ответа JSON для разностного экспорта также можно использовать для вычисления различных ключевых показателей эффективности, таких как "сколько уязвимостей было исправлено" или "сколько новых уязвимостей было добавлено в мою организацию?"
Так как вызов API ответа JSON разностного экспорта для уязвимостей программного обеспечения возвращает данные только для целевого диапазона дат, он не считается полным экспортом.
Собираемые данные (с помощью ответа JSON или файлов) — это текущий snapshot текущего состояния. Он не содержит исторических данных. Для сбора исторических данных клиенты должны сохранять данные в собственных хранилищах данных.
1. Экспорт оценки уязвимостей программного обеспечения (ответ JSON)
1.1 Описание метода API
Этот ответ API содержит все данные установленного программного обеспечения для каждого устройства. Возвращает таблицу с записью для каждого уникального сочетания DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion и CVEID.
1.1.1. Ограничения
- Максимальный размер страницы — 200 000.
- Ограничения скорости для этого API : 30 вызовов в минуту и 1000 вызовов в час.
1.2 Разрешения
Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечной точки.
| Тип разрешения | Разрешение | Отображаемое имя разрешения |
|---|---|---|
| Приложение | Vulnerability.Read.All | "Чтение сведений об уязвимостях управления угрозами и уязвимостями" |
| Делегированные (рабочая или учебная учетная запись) | Vulnerability.Read | "Чтение сведений об уязвимостях управления угрозами и уязвимостями" |
URL-адрес 1.3
GET /api/machines/SoftwareVulnerabilitiesByMachine
1.4 Параметры
- pageSize (по умолчанию = 50 000): количество результатов в ответе.
- $top: число возвращаемых результатов (не возвращает @odata.nextLink и поэтому не извлекет все данные).
1.5. Свойства
- Каждая запись — это 1 КБ данных. Этот размер следует учитывать при выборе правильного параметра pageSize.
- В ответе могут быть возвращены некоторые другие столбцы. Эти столбцы являются временными и могут быть удалены, поэтому используйте только задокументированные столбцы.
- Свойства, определенные в следующей таблице, перечислены в алфавитном порядке по идентификатору свойства. При выполнении этого API результирующие выходные данные не обязательно возвращаются в том же порядке, что и в этой таблице.
| Свойство (идентификатор) | Тип данных | Описание | Пример возвращаемого значения |
|---|---|---|---|
| CveId | String | Уникальный идентификатор, присвоенный уязвимости безопасности в системе Common Vulnerabilityies and Exposures (CVE). | CVE-2020-15992 |
| CvssScore | Двойное с плавающей точкой | Оценка CVSS для CVE. | 6.2 |
| DeviceId | String | Уникальный идентификатор устройства в службе. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | String | Полное доменное имя (FQDN) устройства. | johnlaptop.europe.contoso.com |
| DiskPaths | Array[string] | Диск свидетельствует о том, что продукт установлен на устройстве. | ["C:\Program Files (x86)\Майкрософт\Silverlight\Application\silverlight.exe"] |
| ExploitabilityLevel | String | Уровень эксплуатируемости этой уязвимости (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| FirstSeenTimestamp | String | Первый раз, когда этот продукт CVE был замечен на устройстве. | 2020-11-03 10:13:34.8476880 |
| ИД | String | Уникальный идентификатор записи. | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | String | В последний раз программное обеспечение было зарегистрировано на устройстве. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | String | Платформа операционной системы, работающей на устройстве. Это свойство указывает на определенные операционные системы с вариациями в пределах одного семейства, например Windows 10 и Windows 11. Дополнительные сведения см. в разделе Управление уязвимостями Microsoft Defender поддерживаемых операционных систем и платформ. | Windows10 и Windows 11 |
| RbacGroupName | String | Группа управления доступом на основе ролей (RBAC). Если это устройство не назначено ни одной группе RBAC, значение будет "Unassigned". Если в организации нет групп RBAC, значение равно "Нет". | Серверы |
| RecommendationReference | String | Ссылка на идентификатор рекомендации, связанный с этим программным обеспечением. | va--microsoft--silverlight |
| RecommendedSecurityUpdate (необязательно) | String | Имя или описание обновления для системы безопасности, предоставленного поставщиком программного обеспечения для устранения уязвимости. | Обновления безопасности за апрель 2020 г. |
| RecommendedSecurityUpdateId (необязательно) | String | Идентификатор применимых обновлений для системы безопасности или идентификатор для соответствующих руководств или база знаний статей (KB) | 4550961 |
| RegistryPaths | Array[string] | Реестр свидетельствует о том, что продукт установлен на устройстве. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Майкрософт\Windows\CurrentVersion\Uninstall\МайкрософтSilverlight"] |
| SecurityUpdateAvailable | Логический | Указывает, доступно ли обновление для системы безопасности для программного обеспечения. | Возможные значения: true или false. |
| SoftwareName | String | Имя программного продукта. | Chrome |
| SoftwareVendor | String | Имя поставщика программного обеспечения. | |
| SoftwareVersion | String | Номер версии программного продукта. | 81.0.4044.138 |
| VulnerabilitySeverityLevel | String | Уровень серьезности, назначенный уязвимости безопасности на основе оценки CVSS. | Средняя |
1.6 Примеры
1.6.1. Пример запроса
GET https://api.security.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pageSize=5
1.6.2. Пример ответа
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetVulnerability)",
"value": [
{
"id": "00044f612345baf759462dbe6db733b6a9c59ab4_edge_10.0.17763.1637__",
"deviceId": "00044f612345daf756462bde6bd733b9a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2de2f5ea3142726e63f16a.DomainPII_21eeb80d089e79bdfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "edge",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-edge",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462bde6db733b9a9c56ad4_.net_framework_4.0.0.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ad4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eeb80b086e79bdfa178eabfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": ".net_framework",
"softwareVersion": "4.0.0.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"SOFTWARE\\Microsoft\\NET Framework Setup\\NDP\\v4.0\\Client\\Install"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-.net_framework",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462dbe6db733d6a9c59ab4_system_center_2012_endpoint_protection_4.10.209.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eed80b089e79bdfa178eadfa25e8be6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "system_center_2012_endpoint_protection",
"softwareVersion": "4.10.209.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Microsoft Security Client"
],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-system_center_2012_endpoint_protection",
"securityUpdateAvailable": true
},
{
"id": "00044f612345bdaf759462dbe6bd733b6a9c59ab4_onedrive_20.245.1206.2__",
"deviceId": "00044f91234daf759492dbe6bd733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_189663d45612eed224b2be2f5ea3142729e63f16a.DomainPII_21eed80b086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.245.1206.2",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2944539346-1310925172-2349113062-1001\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"securityUpdateAvailable": true
},
{
"id": "00044f912345daf759462bde6db733b6a9c56ab4_windows_10_10.0.17763.1637__",
"deviceId": "00044f912345daf756462dbe6db733d6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eeb224d2be2f5ea3142729e63f16a.DomainPII_21eeb80d086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "windows_10" "Windows_11",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-windows_10" "va-_-microsoft-_-windows_11",
"securityUpdateAvailable": true
}
],
"@odata.nextLink": "https://api.security.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}
2. Экспорт оценки уязвимостей программного обеспечения (с помощью файлов)
2.1. Описание метода API
Этот ответ API содержит все данные установленного программного обеспечения для каждого устройства. Возвращает таблицу с записью для каждого уникального сочетания DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CVEID.
2.1.2. Ограничения
Ограничения скорости для этого API : 5 вызовов в минуту и 20 вызовов в час.
2.2 Разрешения
Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечной точки.
| Тип разрешения | Разрешение | Отображаемое имя разрешения |
|---|---|---|
| Приложение | Vulnerability.Read.All | "Чтение сведений об уязвимостях управления угрозами и уязвимостями" |
| Делегированные (рабочая или учебная учетная запись) | Vulnerability.Read | "Чтение сведений об уязвимостях управления угрозами и уязвимостями" |
URL-адрес 2.3
GET /api/machines/SoftwareVulnerabilitiesExport
2.4. Параметры
-
sasValidHours: количество часов, в течение которых допустимы URL-адреса для скачивания. Не более 6 часов.
2.5. Свойства
- Файлы сжаты GZIP & в формате JSON с несколькими строками.
- URL-адреса загрузки действительны в течение 1 часа,
sasValidHoursесли параметр не используется. - Для максимальной скорости скачивания данных можно убедиться, что они скачиваются из того же Azure региона, в котором находятся данные.
- Каждая запись — это 1 КБ данных. Это следует учитывать при выборе правильного параметра pageSize.
- В ответе могут быть возвращены некоторые дополнительные столбцы. Эти столбцы являются временными и могут быть удалены, поэтому используйте только задокументированные столбцы.
| Свойство (идентификатор) | Тип данных | Описание | Пример возвращаемого значения |
|---|---|---|---|
| Экспорт файлов | array[string] | Список URL-адресов для скачивания файлов, содержащих текущие snapshot организации. | ["https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...1", "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...2"] |
| GeneratedTime | String | Время создания экспорта. | 2021-05-20T08:00:00Z |
2.6 Примеры
2.6.1. Пример запроса
GET https://api.security.microsoft.com/api/machines/SoftwareVulnerabilitiesExport
2.6.2. Пример ответа
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles": [
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c000.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c001.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c002.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=..."
],
"generatedTime": "2021-01-11T11:01:00Z"
}
3. Оценка уязвимостей программного обеспечения разностного экспорта (ответ JSON)
3.1. Описание метода API
Возвращает таблицу с записью для каждого уникального сочетания DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId. API извлекает данные в организации в виде ответов JSON. Ответ разбиется на страницы, поэтому вы можете использовать @odata.nextLink поле из ответа для получения следующих результатов. В отличие от полной оценки уязвимостей программного обеспечения (ответ JSON), который используется для получения полного snapshot оценки уязвимостей программного обеспечения организации по устройствам, вызов API ответа JSON разностного экспорта используется для получения только изменений, произошедших между выбранной датой и текущей датой (вызов API delta). Вместо того чтобы каждый раз получать полный экспорт с большим объемом данных, вы получаете только конкретную информацию о новых, исправленных и обновленных уязвимостях. Вызов API ответа JSON для разностного экспорта также можно использовать для вычисления различных ключевых показателей эффективности, таких как "сколько уязвимостей было исправлено" или "сколько новых уязвимостей было добавлено в мою организацию?"
Мы обновляем полнуюоценку уязвимостей программного обеспечения (flat/Full VA) по экспорту устройств каждые шесть часов и сохраняем каждую snapshot в хранилище BLOB-объектов. API всегда обслуживает последние snapshot, чтобы подчеркнуть, что вызов конечной точки Get не будет активировать поколение. Вызов конечной точки get будет просто считывать последнюю неструктурированную или разностную после окончания времени.
Успешное завершение экспорта полного va активирует разностный экспорт , который фиксирует изменения с последней версии flat VA, обработанной Delta, на новый плоский va.
Дубликаты области RBAC:
Экспорт ограничивается RBACGroup. Устройство, которое перемещается из одной группы RBAC в другую, будет дважды отображаться в разностном экспорте при запросе с глобальным представлением (RBACGroup=*), один раз под предыдущей группой с состоянием "Исправлено" и один раз в текущей группе со статусом "Создать".
rbacGroupId Используйте идентификаторы и идентификаторы устройств вместе (или отмените дублирование на вашей стороне), если требуется одна достоверная запись для каждого устройства.
3.1.0 Рекомендуемый шаблон вытягивания
Базовый план . Скачайте полный экспорт VA (Flat VA) в предпочитаемую периодичность (часто достаточно еженедельно).
Оставайтесь актуальными — разностный экспорт между полными моментальными снимками (разностный запрос можно запрашивать до 14 дней в прошлом).
Обработка перемещений RBAC — при обработке разностного значения дублируются записи, в которых одна и та же
Id(deviceId_software_версия _ cve)отображается под несколькимиrbacGroupIdзначениями.Если "Status" = Fix" вычисление "EventTimestamp"- "FirstSeenTimestamp" должно дать оценку того, когда CVE была исправлена до степени детализации в 6 часов (из-за интервала выполнения разностной рабочей роли).
3.1.1. Ограничения
- Максимальный размер страницы — 200 000.
- Параметр sinceTime имеет не более 14 дней.
- Ограничения скорости для этого API : 30 вызовов в минуту и 1000 вызовов в час.
3.2 Разрешения
Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечной точки.
| Тип разрешения | Разрешение | Отображаемое имя разрешения |
|---|---|---|
| Приложение | Vulnerability.Read.All | "Чтение сведений об уязвимостях управления угрозами и уязвимостями" |
| Делегированные (рабочая или учебная учетная запись) | Vulnerability.Read | "Чтение сведений об уязвимостях управления угрозами и уязвимостями" |
URL-адрес 3.3
GET /api/machines/SoftwareVulnerabilityChangesByMachine
3.4. Параметры
- sinceTime (обязательный): время начала, с которого вы хотите увидеть изменения данных. Управление уязвимостями создает данные о новых и обновленных уязвимостях каждые 6 часов. Возвращаемые данные включают все изменения, зафиксированные в течение 6-часового периода, в который попадает указанное значение с момента окончания времени, а также изменения в последующих 6-часовых периодах вплоть до последних созданных данных.
- pageSize (по умолчанию = 50 000): количество результатов в ответе.
- $top: количество возвращаемых результатов (не возвращает @odata.nextLink и поэтому не извлекет все данные).
3.5 Свойства
Каждая возвращаемая запись содержит все данные из полной оценки уязвимостей программного обеспечения экспорта с помощью API устройства, а также два других поля: EventTimestamp и Status.
- В ответе могут быть возвращены некоторые другие столбцы. Эти столбцы являются временными и могут быть удалены, поэтому используйте только задокументированные столбцы.
- Свойства, определенные в следующей таблице, перечислены в алфавитном порядке по идентификатору свойства. При выполнении этого API результирующие выходные данные не обязательно возвращаются в том же порядке, что и в этой таблице.
| Свойство (идентификатор) | Тип данных | Описание | Пример возвращаемого значения |
|---|---|---|---|
| CveId | String | Уникальный идентификатор, присвоенный уязвимости безопасности в системе Common Vulnerabilityies and Exposures (CVE). | CVE-2020-15992 |
| CvssScore | Двойное с плавающей точкой | Оценка CVSS для CVE. | 6.2 |
| DeviceId | String | Уникальный идентификатор устройства в службе. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | String | Полное доменное имя (FQDN) устройства. | johnlaptop.europe.contoso.com |
| DiskPaths | Array[string] | Диск свидетельствует о том, что продукт установлен на устройстве. | ["C:\Program Files (x86)\Майкрософт\Silverlight\Application\silverlight.exe"] |
| EventTimestamp | String | Время обнаружения этого разностного события. | 2020-11-03 10:13:34.8476880 |
| ExploitabilityLevel | String | Уровень эксплуатируемости этой уязвимости (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| IsOnboarded | Логический | Указывает, подключено ли устройство. | Возможные значения: true или false. |
| FirstSeenTimestamp | String | При первом обнаружении CVE этого продукта на устройстве. | 2020-11-03 10:13:34.8476880 |
| ИД | String | Уникальный идентификатор записи. | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | String | В последний раз программное обеспечение было зарегистрировано на устройстве. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | String | Платформа операционной системы, работающей на устройстве; конкретные операционные системы с вариациями в пределах одного семейства, например Windows 10 и Windows 11. Дополнительные сведения см. в разделе Управление уязвимостями Microsoft Defender поддерживаемых операционных систем и платформ. | Windows10 и Windows 11 |
| RbacGroupName | String | Группа управления доступом на основе ролей (RBAC). Если это устройство не назначено ни одной группе RBAC, значение будет "Unassigned". | Серверы |
| RecommendationReference | string | Ссылка на идентификатор рекомендации, связанный с этим программным обеспечением. | va--microsoft--silverlight |
| RecommendedSecurityUpdate | String | Имя или описание обновления для системы безопасности, предоставленного поставщиком программного обеспечения для устранения уязвимости. | Обновления безопасности за апрель 2020 г. |
| RecommendedSecurityUpdateId | String | Идентификатор применимых обновлений для системы безопасности или идентификатор для соответствующих руководств или база знаний статей (KB) | 4550961 |
| RegistryPaths | Array[string] | Реестр свидетельствует о том, что продукт установлен на устройстве. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Майкрософт\Windows\CurrentVersion\Uninstall\Google Chrome"] |
| SoftwareName | String | Имя программного продукта. | Chrome |
| SoftwareVendor | String | Имя поставщика программного обеспечения. | |
| SoftwareVersion | String | Номер версии программного продукта. | 81.0.4044.138 |
| Состояние | String | Новое (для новой уязвимости, появившейся на устройстве) (1) Исправлено (если эта уязвимость больше не существует на устройстве, что означает, что она была исправлена). (2) Обновлено (если уязвимость на устройстве изменилась. Возможные изменения: оценка CVSS, уровень уязвимости, уровень серьезности, DiskPaths, RegistryPaths, RecommendedSecurityUpdate. | ИСПРАВЛЕНО |
| VulnerabilitySeverityLevel | String | Уровень серьезности, назначенный уязвимости системы безопасности и основанный на оценке CVSS. | Средняя |
Разъяснения
Если программное обеспечение было обновлено с версии 1.0 до версии 2.0, и обе версии доступны для CVE-A, вы получите два отдельных события:
- Исправлено: исправлена ошибка CVE-A в версии 1.0.
- Добавлено: cve-A версии 2.0.
Если определенная уязвимость (например, CVE-A) была впервые обнаружена в определенное время (например, 10 января) в программном обеспечении версии 1.0, а через несколько дней это программное обеспечение было обновлено до версии 2.0, которая также была подвержена одной и той же CVE-A, вы получите два разделенных события:
- Исправлено: CVE-X, FirstSeenTimestamp 10 января, версия 1.0.
- Новое: CVE-X, FirstSeenTimestamp 10 января, версия 2.0.
3.6 Примеры
3.6.1. Пример запроса
GET https://api.security.microsoft.com/api/machines/SoftwareVulnerabilityChangesByMachine?pageSize=5&sinceTime=2021-05-19T18%3A35%3A49.924Z
3.6.2. Пример ответа
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.DeltaAssetVulnerability)",
"value": [
{
"id": "008198251234544f7dfa715e278d4cec0c16c171_chrome_87.0.4280.88__",
"deviceId": "008198251234544f7dfa715e278b4cec0c19c171",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_1c8fee370690ca24b6a0d3f34d193b0424943a8b8.DomainPII_0dc1aee0fa366d175e514bd91a9e7a5b2b07ee8e.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "87.0.4280.88",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Google Chrome"
],
"lastSeenTimestamp": "2021-01-04 00:29:42",
"firstSeenTimestamp": "2020-11-06 03:12:44",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "00e59c61234533860738ecf488eec8abf296e41e_onedrive_20.64.329.3__",
"deviceId": "00e56c91234533860738ecf488eec8abf296e41e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_82c13a8ad8cf3dbaf7bf34fada9fa3aebc124116.DomainPII_21eeb80d086e79dbfa178eadfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.64.329.3",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2127521184-1604012920-1887927527-24918864\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-11 19:49:48",
"firstSeenTimestamp": "2020-12-07 18:25:47",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "01aa8c73095bb12345918663f3f94ce322107d24_firefox_83.0.0.0_CVE-2020-26971_",
"deviceId": "01aa8c73065bb12345918693f3f94ce322107d24",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_42684eb981bea2d670027e7ad2caafd3f2b381a3.DomainPII_21eed80b086e76dbfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "mozilla",
"softwareName": "firefox",
"softwareVersion": "83.0.0.0",
"cveId": "CVE-2020-26971",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "193220",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Mozilla Firefox 83.0 (x86 en-US)"
],
"lastSeenTimestamp": "2021-01-05 17:04:30",
"firstSeenTimestamp": "2020-05-06 12:42:19",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-mozilla-_-firefox",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "026f0fcb12345fbd2decd1a339702131422d362e_project_16.0.13701.20000__",
"deviceId": "029f0fcb13245fbd2decd1a336702131422d392e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_a5706750acba75f15d69cd17f4a7fcd268d6422c.DomainPII_f290e982685f7e8eee168b4332e0ae5d2a069cd6.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "project",
"softwareVersion": "16.0.13701.20000",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\ProjectProRetail - en-us"
],
"lastSeenTimestamp": "2021-01-03 23:38:03",
"firstSeenTimestamp": "2019-08-01 22:56:12",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-project",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "038df381234510b357ac19d0113ef622e4e212b3_chrome_81.0.4044.138_CVE-2020-16011_",
"deviceId": "038df381234510d357ac19b0113ef922e4e212b3",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596a43a2ef2bbfa00f6a16c0cb1d108bc63e32.DomainPII_3c5fefd2e6fda2f36257359404f6c1092aa6d4b8.net",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "81.0.4044.138",
"cveId": "CVE-2020-16011",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "ADV 200002",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{C4EBFDFD-0C55-3E5F-A919-E3C54949024A}"
],
"lastSeenTimestamp": "2020-12-10 22:45:41",
"firstSeenTimestamp": "2020-07-26 02:13:43",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
}
],
"@odata.nextLink": "https://wpatdadi-eus-stg.cloudapp.net/api/machines/SoftwareVulnerabilitiesTimeline?sincetime=2021-01-11&pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}