Экспорт оценки уязвимостей программного обеспечения для каждого устройства

Возможность экспорта уязвимостей программного обеспечения для каждого устройства возвращает все известные уязвимости программного обеспечения и их сведения для всех устройств на основе каждого устройства. Если не указано иное, все перечисленные методы оценки экспорта полностью экспортируются и по устройству (также называются по устройству).

Различные вызовы API получают данные разных типов. Так как объем данных может быть большим, их можно извлечь тремя способами:

  1. Экспорт оценки уязвимостей программного обеспечения: ответ JSON API извлекает все данные в организации в виде ответов JSON. Этот метод лучше всего подходит для небольших организаций с менее чем 100 тыс. устройств. Ответ разбиется на страницы, поэтому для получения следующих результатов можно использовать поле @odata.nextLink из ответа.

  2. Экспорт оценки уязвимостей программного обеспечения: с помощью файлов Это решение API позволяет быстрее и надежнее извлекать большие объемы данных. Via-files рекомендуется использовать для крупных организаций с более чем 100-тысячными устройствами. Этот API извлекает все данные в вашей организации в виде файлов скачивания. Ответ содержит URL-адреса для скачивания всех данных из хранилища Azure. Этот API позволяет скачивать все данные из хранилища Azure следующим образом:

    • Вызовите API, чтобы получить список URL-адресов для скачивания со всеми данными организации.
    • Скачайте все файлы с помощью URL-адресов для скачивания и обработайте данные по мере того, как вам нравится.
  3. Оценка уязвимостей программного обеспечения разностного экспорта: ответ JSON Возвращает таблицу с записью для каждого уникального сочетания: DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId и EventTimestamp. API извлекает данные в организации в виде ответов JSON. Ответ разбиется на страницы, поэтому вы можете использовать @odata.nextLink поле из ответа для получения следующих результатов.

    Полная оценка уязвимостей программного обеспечения (ответ JSON) используется для получения полного snapshot оценки уязвимостей программного обеспечения вашей организации по устройствам. Однако вызов API разностного экспорта используется для получения только изменений, произошедших между выбранной датой и текущей датой (вызов API delta). Вместо того чтобы каждый раз получать полный экспорт с большим объемом данных, вы получаете только конкретную информацию о новых, исправленных и обновленных уязвимостях. Вызов API ответа JSON для разностного экспорта также можно использовать для вычисления различных ключевых показателей эффективности, таких как "сколько уязвимостей было исправлено" или "сколько новых уязвимостей было добавлено в мою организацию?"

    Так как вызов API ответа JSON разностного экспорта для уязвимостей программного обеспечения возвращает данные только для целевого диапазона дат, он не считается полным экспортом.

Собираемые данные (с помощью ответа JSON или файлов) — это текущий snapshot текущего состояния. Он не содержит исторических данных. Для сбора исторических данных клиенты должны сохранять данные в собственных хранилищах данных.

1. Экспорт оценки уязвимостей программного обеспечения (ответ JSON)

1.1 Описание метода API

Этот ответ API содержит все данные установленного программного обеспечения для каждого устройства. Возвращает таблицу с записью для каждого уникального сочетания DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion и CVEID.

1.1.1. Ограничения

  • Максимальный размер страницы — 200 000.
  • Ограничения скорости для этого API : 30 вызовов в минуту и 1000 вызовов в час.

1.2 Разрешения

Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечной точки.

Тип разрешения Разрешение Отображаемое имя разрешения
Приложение Vulnerability.Read.All "Чтение сведений об уязвимостях управления угрозами и уязвимостями"
Делегированные (рабочая или учебная учетная запись) Vulnerability.Read "Чтение сведений об уязвимостях управления угрозами и уязвимостями"

URL-адрес 1.3

GET /api/machines/SoftwareVulnerabilitiesByMachine

1.4 Параметры

  • pageSize (по умолчанию = 50 000): количество результатов в ответе.
  • $top: число возвращаемых результатов (не возвращает @odata.nextLink и поэтому не извлекет все данные).

1.5. Свойства

  • Каждая запись — это 1 КБ данных. Этот размер следует учитывать при выборе правильного параметра pageSize.
  • В ответе могут быть возвращены некоторые другие столбцы. Эти столбцы являются временными и могут быть удалены, поэтому используйте только задокументированные столбцы.
  • Свойства, определенные в следующей таблице, перечислены в алфавитном порядке по идентификатору свойства. При выполнении этого API результирующие выходные данные не обязательно возвращаются в том же порядке, что и в этой таблице.
Свойство (идентификатор) Тип данных Описание Пример возвращаемого значения
CveId String Уникальный идентификатор, присвоенный уязвимости безопасности в системе Common Vulnerabilityies and Exposures (CVE). CVE-2020-15992
CvssScore Двойное с плавающей точкой Оценка CVSS для CVE. 6.2
DeviceId String Уникальный идентификатор устройства в службе. 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1
DeviceName String Полное доменное имя (FQDN) устройства. johnlaptop.europe.contoso.com
DiskPaths Array[string] Диск свидетельствует о том, что продукт установлен на устройстве. ["C:\Program Files (x86)\Майкрософт\Silverlight\Application\silverlight.exe"]
ExploitabilityLevel String Уровень эксплуатируемости этой уязвимости (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) ExploitIsInKit
FirstSeenTimestamp String Первый раз, когда этот продукт CVE был замечен на устройстве. 2020-11-03 10:13:34.8476880
ИД String Уникальный идентификатор записи. 123ABG55_573AG&mnp!
LastSeenTimestamp String В последний раз программное обеспечение было зарегистрировано на устройстве. 2020-11-03 10:13:34.8476880
OSPlatform String Платформа операционной системы, работающей на устройстве. Это свойство указывает на определенные операционные системы с вариациями в пределах одного семейства, например Windows 10 и Windows 11. Дополнительные сведения см. в разделе Управление уязвимостями Microsoft Defender поддерживаемых операционных систем и платформ. Windows10 и Windows 11
RbacGroupName String Группа управления доступом на основе ролей (RBAC). Если это устройство не назначено ни одной группе RBAC, значение будет "Unassigned". Если в организации нет групп RBAC, значение равно "Нет". Серверы
RecommendationReference String Ссылка на идентификатор рекомендации, связанный с этим программным обеспечением. va--microsoft--silverlight
RecommendedSecurityUpdate (необязательно) String Имя или описание обновления для системы безопасности, предоставленного поставщиком программного обеспечения для устранения уязвимости. Обновления безопасности за апрель 2020 г.
RecommendedSecurityUpdateId (необязательно) String Идентификатор применимых обновлений для системы безопасности или идентификатор для соответствующих руководств или база знаний статей (KB) 4550961
RegistryPaths Array[string] Реестр свидетельствует о том, что продукт установлен на устройстве. ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Майкрософт\Windows\CurrentVersion\Uninstall\МайкрософтSilverlight"]
SecurityUpdateAvailable Логический Указывает, доступно ли обновление для системы безопасности для программного обеспечения. Возможные значения: true или false.
SoftwareName String Имя программного продукта. Chrome
SoftwareVendor String Имя поставщика программного обеспечения. Google
SoftwareVersion String Номер версии программного продукта. 81.0.4044.138
VulnerabilitySeverityLevel String Уровень серьезности, назначенный уязвимости безопасности на основе оценки CVSS. Средняя

1.6 Примеры

1.6.1. Пример запроса

GET https://api.security.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pageSize=5

1.6.2. Пример ответа

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetVulnerability)",
    "value": [
        {
            "id": "00044f612345baf759462dbe6db733b6a9c59ab4_edge_10.0.17763.1637__",
            "deviceId": "00044f612345daf756462bde6bd733b9a9c59ab4",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_18663b45912eed224b2de2f5ea3142726e63f16a.DomainPII_21eeb80d089e79bdfa178eabfa25e8de9acfa346.corp.contoso.com",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.17763.1637",
            "osArchitecture": "x64",
            "softwareVendor": "microsoft",
            "softwareName": "edge",
            "softwareVersion": "10.0.17763.1637",
            "cveId": null,
            "vulnerabilitySeverityLevel": null,
            "recommendedSecurityUpdate": null,
            "recommendedSecurityUpdateId": null,
            "recommendedSecurityUpdateUrl": null,
            "diskPaths": [],
            "registryPaths": [],
            "lastSeenTimestamp": "2020-12-30 14:17:26",
            "firstSeenTimestamp": "2020-12-30 11:07:15",
            "exploitabilityLevel": "NoExploit",
            "recommendationReference": "va-_-microsoft-_-edge",
            "securityUpdateAvailable": true
        },
        {
            "id": "00044f912345baf756462bde6db733b9a9c56ad4_.net_framework_4.0.0.0__",
            "deviceId": "00044f912345daf756462bde6db733b6a9c59ad4",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eeb80b086e79bdfa178eabfa25e8de6acfa346.corp.contoso.com",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.17763.1637",
            "osArchitecture": "x64",
            "softwareVendor": "microsoft",
            "softwareName": ".net_framework",
            "softwareVersion": "4.0.0.0",
            "cveId": null,
            "vulnerabilitySeverityLevel": null,
            "recommendedSecurityUpdate": null,
            "recommendedSecurityUpdateId": null,
            "recommendedSecurityUpdateUrl": null,
            "diskPaths": [],
            "registryPaths": [
                "SOFTWARE\\Microsoft\\NET Framework Setup\\NDP\\v4.0\\Client\\Install"
            ],
            "lastSeenTimestamp": "2020-12-30 13:18:33",
            "firstSeenTimestamp": "2020-12-30 11:07:15",
            "exploitabilityLevel": "NoExploit",
            "recommendationReference": "va-_-microsoft-_-.net_framework",
            "securityUpdateAvailable": true
        },
        {
            "id": "00044f912345baf756462dbe6db733d6a9c59ab4_system_center_2012_endpoint_protection_4.10.209.0__",
            "deviceId": "00044f912345daf756462bde6db733b6a9c59ab4",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eed80b089e79bdfa178eadfa25e8be6acfa346.corp.contoso.com",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.17763.1637",
            "osArchitecture": "x64",
            "softwareVendor": "microsoft",
            "softwareName": "system_center_2012_endpoint_protection",
            "softwareVersion": "4.10.209.0",
            "cveId": null,
            "vulnerabilitySeverityLevel": null,
            "recommendedSecurityUpdate": null,
            "recommendedSecurityUpdateId": null,
            "recommendedSecurityUpdateUrl": null,
            "diskPaths": [],
            "registryPaths": [
                "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Microsoft Security Client"
            ],
            "lastSeenTimestamp": "2020-12-30 14:17:26",
            "firstSeenTimestamp": "2020-12-30 11:07:15",
            "exploitabilityLevel": "NoExploit",
            "recommendationReference": "va-_-microsoft-_-system_center_2012_endpoint_protection",
            "securityUpdateAvailable": true
        },
        {
            "id": "00044f612345bdaf759462dbe6bd733b6a9c59ab4_onedrive_20.245.1206.2__",
            "deviceId": "00044f91234daf759492dbe6bd733b6a9c59ab4",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_189663d45612eed224b2be2f5ea3142729e63f16a.DomainPII_21eed80b086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.17763.1637",
            "osArchitecture": "x64",
            "softwareVendor": "microsoft",
            "softwareName": "onedrive",
            "softwareVersion": "20.245.1206.2",
            "cveId": null,
            "vulnerabilitySeverityLevel": null,
            "recommendedSecurityUpdate": null,
            "recommendedSecurityUpdateId": null,
            "recommendedSecurityUpdateUrl": null,
            "diskPaths": [],
            "registryPaths": [
                "HKEY_USERS\\S-1-5-21-2944539346-1310925172-2349113062-1001\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
            ],
            "lastSeenTimestamp": "2020-12-30 13:18:33",
            "firstSeenTimestamp": "2020-12-30 11:07:15",
            "exploitabilityLevel": "NoExploit",
            "recommendationReference": "va-_-microsoft-_-onedrive",
            "securityUpdateAvailable": true
        },
        {
            "id": "00044f912345daf759462bde6db733b6a9c56ab4_windows_10_10.0.17763.1637__",
            "deviceId": "00044f912345daf756462dbe6db733d6a9c59ab4",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_18663b45912eeb224d2be2f5ea3142729e63f16a.DomainPII_21eeb80d086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.17763.1637",
            "osArchitecture": "x64",
            "softwareVendor": "microsoft",
            "softwareName": "windows_10" "Windows_11",
            "softwareVersion": "10.0.17763.1637",
            "cveId": null,
            "vulnerabilitySeverityLevel": null,
            "recommendedSecurityUpdate": null,
            "recommendedSecurityUpdateId": null,
            "recommendedSecurityUpdateUrl": null,
            "diskPaths": [],
            "registryPaths": [],
            "lastSeenTimestamp": "2020-12-30 14:17:26",
            "firstSeenTimestamp": "2020-12-30 11:07:15",
            "exploitabilityLevel": "NoExploit",
            "recommendationReference": "va-_-microsoft-_-windows_10" "va-_-microsoft-_-windows_11",
            "securityUpdateAvailable": true
        }
    ],
    "@odata.nextLink": "https://api.security.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}

2. Экспорт оценки уязвимостей программного обеспечения (с помощью файлов)

2.1. Описание метода API

Этот ответ API содержит все данные установленного программного обеспечения для каждого устройства. Возвращает таблицу с записью для каждого уникального сочетания DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CVEID.

2.1.2. Ограничения

Ограничения скорости для этого API : 5 вызовов в минуту и 20 вызовов в час.

2.2 Разрешения

Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечной точки.

Тип разрешения Разрешение Отображаемое имя разрешения
Приложение Vulnerability.Read.All "Чтение сведений об уязвимостях управления угрозами и уязвимостями"
Делегированные (рабочая или учебная учетная запись) Vulnerability.Read "Чтение сведений об уязвимостях управления угрозами и уязвимостями"

URL-адрес 2.3

GET /api/machines/SoftwareVulnerabilitiesExport

2.4. Параметры

  • sasValidHours: количество часов, в течение которых допустимы URL-адреса для скачивания. Не более 6 часов.

2.5. Свойства

  • Файлы сжаты GZIP & в формате JSON с несколькими строками.
  • URL-адреса загрузки действительны в течение 1 часа, sasValidHours если параметр не используется.
  • Для максимальной скорости скачивания данных можно убедиться, что они скачиваются из того же Azure региона, в котором находятся данные.
  • Каждая запись — это 1 КБ данных. Это следует учитывать при выборе правильного параметра pageSize.
  • В ответе могут быть возвращены некоторые дополнительные столбцы. Эти столбцы являются временными и могут быть удалены, поэтому используйте только задокументированные столбцы.
Свойство (идентификатор) Тип данных Описание Пример возвращаемого значения
Экспорт файлов array[string] Список URL-адресов для скачивания файлов, содержащих текущие snapshot организации. ["https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...1", "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...2"]
GeneratedTime String Время создания экспорта. 2021-05-20T08:00:00Z

2.6 Примеры

2.6.1. Пример запроса

GET https://api.security.microsoft.com/api/machines/SoftwareVulnerabilitiesExport

2.6.2. Пример ответа

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
    "exportFiles": [
        "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c000.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
        "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c001.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
        "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c002.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=..."
    ],
    "generatedTime": "2021-01-11T11:01:00Z"
}

3. Оценка уязвимостей программного обеспечения разностного экспорта (ответ JSON)

3.1. Описание метода API

Возвращает таблицу с записью для каждого уникального сочетания DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId. API извлекает данные в организации в виде ответов JSON. Ответ разбиется на страницы, поэтому вы можете использовать @odata.nextLink поле из ответа для получения следующих результатов. В отличие от полной оценки уязвимостей программного обеспечения (ответ JSON), который используется для получения полного snapshot оценки уязвимостей программного обеспечения организации по устройствам, вызов API ответа JSON разностного экспорта используется для получения только изменений, произошедших между выбранной датой и текущей датой (вызов API delta). Вместо того чтобы каждый раз получать полный экспорт с большим объемом данных, вы получаете только конкретную информацию о новых, исправленных и обновленных уязвимостях. Вызов API ответа JSON для разностного экспорта также можно использовать для вычисления различных ключевых показателей эффективности, таких как "сколько уязвимостей было исправлено" или "сколько новых уязвимостей было добавлено в мою организацию?"

Мы обновляем полнуюоценку уязвимостей программного обеспечения (flat/Full VA) по экспорту устройств каждые шесть часов и сохраняем каждую snapshot в хранилище BLOB-объектов. API всегда обслуживает последние snapshot, чтобы подчеркнуть, что вызов конечной точки Get не будет активировать поколение. Вызов конечной точки get будет просто считывать последнюю неструктурированную или разностную после окончания времени.

Успешное завершение экспорта полного va активирует разностный экспорт , который фиксирует изменения с последней версии flat VA, обработанной Delta, на новый плоский va.

Дубликаты области RBAC:

Экспорт ограничивается RBACGroup. Устройство, которое перемещается из одной группы RBAC в другую, будет дважды отображаться в разностном экспорте при запросе с глобальным представлением (RBACGroup=*), один раз под предыдущей группой с состоянием "Исправлено" и один раз в текущей группе со статусом "Создать". rbacGroupId Используйте идентификаторы и идентификаторы устройств вместе (или отмените дублирование на вашей стороне), если требуется одна достоверная запись для каждого устройства.

  1. Базовый план . Скачайте полный экспорт VA (Flat VA) в предпочитаемую периодичность (часто достаточно еженедельно).

  2. Оставайтесь актуальными — разностный экспорт между полными моментальными снимками (разностный запрос можно запрашивать до 14 дней в прошлом).

  3. Обработка перемещений RBAC — при обработке разностного значения дублируются записи, в которых одна и та же Id(deviceId_software_ версия _ cve)отображается под несколькими rbacGroupId значениями.

  4. Если "Status" = Fix" вычисление "EventTimestamp"- "FirstSeenTimestamp" должно дать оценку того, когда CVE была исправлена до степени детализации в 6 часов (из-за интервала выполнения разностной рабочей роли).

3.1.1. Ограничения

  • Максимальный размер страницы — 200 000.
  • Параметр sinceTime имеет не более 14 дней.
  • Ограничения скорости для этого API : 30 вызовов в минуту и 1000 вызовов в час.

3.2 Разрешения

Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечной точки.

Тип разрешения Разрешение Отображаемое имя разрешения
Приложение Vulnerability.Read.All "Чтение сведений об уязвимостях управления угрозами и уязвимостями"
Делегированные (рабочая или учебная учетная запись) Vulnerability.Read "Чтение сведений об уязвимостях управления угрозами и уязвимостями"

URL-адрес 3.3

GET /api/machines/SoftwareVulnerabilityChangesByMachine

3.4. Параметры

  • sinceTime (обязательный): время начала, с которого вы хотите увидеть изменения данных. Управление уязвимостями создает данные о новых и обновленных уязвимостях каждые 6 часов. Возвращаемые данные включают все изменения, зафиксированные в течение 6-часового периода, в который попадает указанное значение с момента окончания времени, а также изменения в последующих 6-часовых периодах вплоть до последних созданных данных.
  • pageSize (по умолчанию = 50 000): количество результатов в ответе.
  • $top: количество возвращаемых результатов (не возвращает @odata.nextLink и поэтому не извлекет все данные).

3.5 Свойства

Каждая возвращаемая запись содержит все данные из полной оценки уязвимостей программного обеспечения экспорта с помощью API устройства, а также два других поля: EventTimestamp и Status.

  • В ответе могут быть возвращены некоторые другие столбцы. Эти столбцы являются временными и могут быть удалены, поэтому используйте только задокументированные столбцы.
  • Свойства, определенные в следующей таблице, перечислены в алфавитном порядке по идентификатору свойства. При выполнении этого API результирующие выходные данные не обязательно возвращаются в том же порядке, что и в этой таблице.
Свойство (идентификатор) Тип данных Описание Пример возвращаемого значения
CveId String Уникальный идентификатор, присвоенный уязвимости безопасности в системе Common Vulnerabilityies and Exposures (CVE). CVE-2020-15992
CvssScore Двойное с плавающей точкой Оценка CVSS для CVE. 6.2
DeviceId String Уникальный идентификатор устройства в службе. 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1
DeviceName String Полное доменное имя (FQDN) устройства. johnlaptop.europe.contoso.com
DiskPaths Array[string] Диск свидетельствует о том, что продукт установлен на устройстве. ["C:\Program Files (x86)\Майкрософт\Silverlight\Application\silverlight.exe"]
EventTimestamp String Время обнаружения этого разностного события. 2020-11-03 10:13:34.8476880
ExploitabilityLevel String Уровень эксплуатируемости этой уязвимости (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) ExploitIsInKit
IsOnboarded Логический Указывает, подключено ли устройство. Возможные значения: true или false.
FirstSeenTimestamp String При первом обнаружении CVE этого продукта на устройстве. 2020-11-03 10:13:34.8476880
ИД String Уникальный идентификатор записи. 123ABG55_573AG&mnp!
LastSeenTimestamp String В последний раз программное обеспечение было зарегистрировано на устройстве. 2020-11-03 10:13:34.8476880
OSPlatform String Платформа операционной системы, работающей на устройстве; конкретные операционные системы с вариациями в пределах одного семейства, например Windows 10 и Windows 11. Дополнительные сведения см. в разделе Управление уязвимостями Microsoft Defender поддерживаемых операционных систем и платформ. Windows10 и Windows 11
RbacGroupName String Группа управления доступом на основе ролей (RBAC). Если это устройство не назначено ни одной группе RBAC, значение будет "Unassigned". Серверы
RecommendationReference string Ссылка на идентификатор рекомендации, связанный с этим программным обеспечением. va--microsoft--silverlight
RecommendedSecurityUpdate String Имя или описание обновления для системы безопасности, предоставленного поставщиком программного обеспечения для устранения уязвимости. Обновления безопасности за апрель 2020 г.
RecommendedSecurityUpdateId String Идентификатор применимых обновлений для системы безопасности или идентификатор для соответствующих руководств или база знаний статей (KB) 4550961
RegistryPaths Array[string] Реестр свидетельствует о том, что продукт установлен на устройстве. ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Майкрософт\Windows\CurrentVersion\Uninstall\Google Chrome"]
SoftwareName String Имя программного продукта. Chrome
SoftwareVendor String Имя поставщика программного обеспечения. Google
SoftwareVersion String Номер версии программного продукта. 81.0.4044.138
Состояние String Новое (для новой уязвимости, появившейся на устройстве) (1) Исправлено (если эта уязвимость больше не существует на устройстве, что означает, что она была исправлена). (2) Обновлено (если уязвимость на устройстве изменилась. Возможные изменения: оценка CVSS, уровень уязвимости, уровень серьезности, DiskPaths, RegistryPaths, RecommendedSecurityUpdate. ИСПРАВЛЕНО
VulnerabilitySeverityLevel String Уровень серьезности, назначенный уязвимости системы безопасности и основанный на оценке CVSS. Средняя

Разъяснения

  • Если программное обеспечение было обновлено с версии 1.0 до версии 2.0, и обе версии доступны для CVE-A, вы получите два отдельных события:

    1. Исправлено: исправлена ошибка CVE-A в версии 1.0.
    2. Добавлено: cve-A версии 2.0.
  • Если определенная уязвимость (например, CVE-A) была впервые обнаружена в определенное время (например, 10 января) в программном обеспечении версии 1.0, а через несколько дней это программное обеспечение было обновлено до версии 2.0, которая также была подвержена одной и той же CVE-A, вы получите два разделенных события:

    1. Исправлено: CVE-X, FirstSeenTimestamp 10 января, версия 1.0.
    2. Новое: CVE-X, FirstSeenTimestamp 10 января, версия 2.0.

3.6 Примеры

3.6.1. Пример запроса

GET https://api.security.microsoft.com/api/machines/SoftwareVulnerabilityChangesByMachine?pageSize=5&sinceTime=2021-05-19T18%3A35%3A49.924Z

3.6.2. Пример ответа

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.DeltaAssetVulnerability)",
    "value": [
        {
            "id": "008198251234544f7dfa715e278d4cec0c16c171_chrome_87.0.4280.88__",
            "deviceId": "008198251234544f7dfa715e278b4cec0c19c171",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_1c8fee370690ca24b6a0d3f34d193b0424943a8b8.DomainPII_0dc1aee0fa366d175e514bd91a9e7a5b2b07ee8e.corp.contoso.com",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.19042.685",
            "osArchitecture": "x64",
            "softwareVendor": "google",
            "softwareName": "chrome",
            "softwareVersion": "87.0.4280.88",
            "cveId": null,
            "vulnerabilitySeverityLevel": null,
            "recommendedSecurityUpdate": null,
            "recommendedSecurityUpdateId": null,
            "recommendedSecurityUpdateUrl": null,
            "diskPaths": [
                "C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
            ],
            "registryPaths": [
                "HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Google Chrome"
            ],
            "lastSeenTimestamp": "2021-01-04 00:29:42",
            "firstSeenTimestamp": "2020-11-06 03:12:44",
            "exploitabilityLevel": "NoExploit",
            "recommendationReference": "va-_-google-_-chrome",
            "status": "Fixed",
            "eventTimestamp": "2020-11-03 10:13:34.8476880"
        },
        {
            "id": "00e59c61234533860738ecf488eec8abf296e41e_onedrive_20.64.329.3__",
            "deviceId": "00e56c91234533860738ecf488eec8abf296e41e",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_82c13a8ad8cf3dbaf7bf34fada9fa3aebc124116.DomainPII_21eeb80d086e79dbfa178eadfa25e8de9acfa346.corp.contoso.com",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.18363.1256",
            "osArchitecture": "x64",
            "softwareVendor": "microsoft",
            "softwareName": "onedrive",
            "softwareVersion": "20.64.329.3",
            "cveId": null,
            "vulnerabilitySeverityLevel": null,
            "recommendedSecurityUpdate": null,
            "recommendedSecurityUpdateId": null,
            "recommendedSecurityUpdateUrl": null,
            "diskPaths": [],
            "registryPaths": [
                "HKEY_USERS\\S-1-5-21-2127521184-1604012920-1887927527-24918864\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
            ],
            "lastSeenTimestamp": "2020-12-11 19:49:48",
            "firstSeenTimestamp": "2020-12-07 18:25:47",
            "exploitabilityLevel": "NoExploit",
            "recommendationReference": "va-_-microsoft-_-onedrive",
            "status": "Fixed",
            "eventTimestamp": "2020-11-03 10:13:34.8476880"
        },
        {
            "id": "01aa8c73095bb12345918663f3f94ce322107d24_firefox_83.0.0.0_CVE-2020-26971_",
            "deviceId": "01aa8c73065bb12345918693f3f94ce322107d24",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_42684eb981bea2d670027e7ad2caafd3f2b381a3.DomainPII_21eed80b086e76dbfa178eabfa25e8de9acfa346.corp.contoso.com",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.19042.685",
            "osArchitecture": "x64",
            "softwareVendor": "mozilla",
            "softwareName": "firefox",
            "softwareVersion": "83.0.0.0",
            "cveId": "CVE-2020-26971",
            "vulnerabilitySeverityLevel": "High",
            "recommendedSecurityUpdate": "193220",
            "recommendedSecurityUpdateId": null,
            "recommendedSecurityUpdateUrl": null,
            "diskPaths": [
                "C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe"
            ],
            "registryPaths": [
                "HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Mozilla Firefox 83.0 (x86 en-US)"
            ],
            "lastSeenTimestamp": "2021-01-05 17:04:30",
            "firstSeenTimestamp": "2020-05-06 12:42:19",
            "exploitabilityLevel": "NoExploit",
            "recommendationReference": "va-_-mozilla-_-firefox",
            "status": "Fixed",
            "eventTimestamp": "2020-11-03 10:13:34.8476880"
        },
        {
            "id": "026f0fcb12345fbd2decd1a339702131422d362e_project_16.0.13701.20000__",
            "deviceId": "029f0fcb13245fbd2decd1a336702131422d392e",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_a5706750acba75f15d69cd17f4a7fcd268d6422c.DomainPII_f290e982685f7e8eee168b4332e0ae5d2a069cd6.corp.contoso.com",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.19042.685",
            "osArchitecture": "x64",
            "softwareVendor": "microsoft",
            "softwareName": "project",
            "softwareVersion": "16.0.13701.20000",
            "cveId": null,
            "vulnerabilitySeverityLevel": null,
            "recommendedSecurityUpdate": null,
            "recommendedSecurityUpdateId": null,
            "recommendedSecurityUpdateUrl": null,
            "diskPaths": [],
            "registryPaths": [
                "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\ProjectProRetail - en-us"
            ],
            "lastSeenTimestamp": "2021-01-03 23:38:03",
            "firstSeenTimestamp": "2019-08-01 22:56:12",
            "exploitabilityLevel": "NoExploit",
            "recommendationReference": "va-_-microsoft-_-project",
            "status": "Fixed",
            "eventTimestamp": "2020-11-03 10:13:34.8476880"
        },
        {
            "id": "038df381234510b357ac19d0113ef622e4e212b3_chrome_81.0.4044.138_CVE-2020-16011_",
            "deviceId": "038df381234510d357ac19b0113ef922e4e212b3",
            "rbacGroupName": "hhh",
            "deviceName": "ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596a43a2ef2bbfa00f6a16c0cb1d108bc63e32.DomainPII_3c5fefd2e6fda2f36257359404f6c1092aa6d4b8.net",
            "osPlatform": "Windows10" "Windows11",
            "osVersion": "10.0.18363.1256",
            "osArchitecture": "x64",
            "softwareVendor": "google",
            "softwareName": "chrome",
            "softwareVersion": "81.0.4044.138",
            "cveId": "CVE-2020-16011",
            "vulnerabilitySeverityLevel": "High",
            "recommendedSecurityUpdate": "ADV 200002",
            "recommendedSecurityUpdateId": null,
            "recommendedSecurityUpdateUrl": null,
            "diskPaths": [
                "C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
            ],
            "registryPaths": [
                "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{C4EBFDFD-0C55-3E5F-A919-E3C54949024A}"
            ],
            "lastSeenTimestamp": "2020-12-10 22:45:41",
            "firstSeenTimestamp": "2020-07-26 02:13:43",
            "exploitabilityLevel": "NoExploit",
            "recommendationReference": "va-_-google-_-chrome",
            "status": "Fixed",
            "eventTimestamp": "2020-11-03 10:13:34.8476880"
        }
    ],
    "@odata.nextLink": "https://wpatdadi-eus-stg.cloudapp.net/api/machines/SoftwareVulnerabilitiesTimeline?sincetime=2021-01-11&pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}