Поделиться через

Получение результатов динамического ответа

  • Статья

Область применения:

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.

Совет

Для повышения производительности можно использовать сервер ближе к географическому расположению:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Описание API

Извлекает конкретный результат команды динамического ответа по индексу.

Ограничения

  1. Ограничения скорости для этого API : 100 вызовов в минуту и 1500 вызовов в час.

Минимальные требования

Прежде чем начать сеанс на устройстве, убедитесь, что выполнены следующие требования:

Разрешения

Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Начало работы.

Тип разрешения Разрешение Отображаемое имя разрешения
Приложение Machine.Read.All Чтение всех профилей компьютеров
Приложение Machine.ReadWrite.All Чтение и запись всех сведений о компьютере
Делегированные (рабочая или учебная учетная запись) Machine.LiveResponse Запуск динамического ответа на определенном компьютере

HTTP-запрос

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

Заголовки запросов

Имя Тип Описание
Авторизация String Bearer {token}. Обязательно.

Текст запроса

переменная Empty

Отклик

В случае успешного выполнения этот метод возвращает код ответа 200 , ОК с объектом, который содержит ссылку на результат команды в свойстве value . Эта ссылка действительна в течение 30 минут и должна использоваться немедленно для скачивания пакета в локальное хранилище. Связь с истекшим сроком действия может быть повторно создана другим вызовом, и нет необходимости повторно запускать динамический ответ.

Свойства расшифровки Runscript:

Свойство Описание
script_name Имя выполняемого скрипта
exit_code Код выхода из выполняемого скрипта
script_output Стандартные выходные данные выполняемого скрипта
script_errors Вывод стандартной ошибки выполняемого скрипта

Пример

Пример запроса

Ниже приведен пример запроса.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Пример ответа

Ниже приведен пример отклика.

HTTP/1.1 200 Ok

Тип содержимого: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Содержимое файла:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.