Élő válaszparancsok futtatása eszközön
Érintett szolgáltatás:
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Megjegyzés:
Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.
Tipp
A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-leírás
Élő válaszparancsok sorozatát futtatja egy eszközön
Korlátozások
Az API sebességkorlátozásai percenként 10 hívásra vonatkoznak (további kérések http 429-zel válaszolnak).
25 egyidejűleg futó munkamenet (a szabályozási korlátot meghaladó kérések "429 – Túl sok kérelem" választ kapnak).
Ha a gép nem érhető el, a munkamenet legfeljebb három napig lesz várólistán.
A RunScript parancs időtúllépése 10 perc után.
Az élő válaszparancsok nem várólistára helyezhetők, és csak egyenként hajthatók végre.
Ha az API-hívást futtatni próbáló gép olyan RBAC-eszközcsoportban található, amelyhez nincs hozzárendelve automatikus szervizelési szint, legalább engedélyeznie kell egy adott eszközcsoport minimális szervizelési szintjét.
Megjegyzés:
Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.
Egyetlen API-híváson több élő válaszparancs is futtatható. Ha azonban egy élő válaszparancs meghiúsul, a rendszer nem hajtja végre az összes további műveletet.
Több élő válasz munkamenet nem hajtható végre ugyanazon a gépen (ha az élő válaszművelet már fut, a rendszer a következő kéréseket HTTP 400 – ActiveRequestAlreadyExists használatával válaszolja meg).
Megjegyzés:
Az Eszköz lapról indított élő válaszműveletek nem érhetők el az machineactions API-ban.
Minimumkövetelmények
Mielőtt munkamenetet kezdeményezhet egy eszközön, győződjön meg arról, hogy megfelel a következő követelményeknek:
Ellenőrizze, hogy támogatott Windows-, macOS- vagy Linux-verziót futtat-e.
Az eszközöknek a következők egyikét kell futtatniuk:
Windows 11
Windows 10
Windows Server 2019 – Csak a nyilvános előzetes verzióra vonatkozik
Windows Server 2022
Windows Server 2025
macOS(más konfigurációs profilokat igényel)
- 13 (Ventura)
- 12 (Monterey)
- 11 (Big Sur)
Linux Server
Engedélyek
Az API meghívásához az alábbi engedélyek egyikére van szükség. További információkért, beleértve az engedélyek kiválasztását is, olvassa el az Első lépések című témakört.
| Engedély típusa | Engedély | Engedély megjelenítendő neve |
|---|---|---|
| Alkalmazás | Machine.LiveResponse | Élő válasz futtatása egy adott gépen |
| Delegált (munkahelyi vagy iskolai fiók) | Machine.LiveResponse | Élő válasz futtatása egy adott gépen |
HTTP-kérés
POST https://api.securitycenter.microsoft.com/API/machines/{machine_id}/runliveresponse
Kérelemfejlécek
| Name (Név) | Típus | Leírás |
|---|---|---|
| Felhatalmazás | Karakterlánc | Tulajdonosi<jogkivonat>. Szükséges. |
| Tartalomtípus | sztring | application/json. Szükséges. |
Kérelem törzse
| Paraméter | Típus | Leírás |
|---|---|---|
| Megjegyzés | Karakterlánc | A művelethez társítandó megjegyzés. |
| Parancsok | Tömb | Futtatandó parancsok. Az engedélyezett értékek a Következők: PutFile, RunScript, GetFile (az ismétlődések korlátozásának nélküli sorrendben kell lennie). |
Parancsok
| Parancstípus | Paraméterek | Leírás |
|---|---|---|
| PutFile | Kulcs: FileName Érték: <fájlnév> |
Fájlokat helyez el a tárból az eszközre. A fájlok egy munkamappába kerülnek, és az eszköz alapértelmezés szerint újraindulásakor törlődnek. MEGJEGYZÉS: Nincs válaszeredménye. |
| RunScript | Kulcs: ScriptName Érték: <Szkript a kódtárból> Kulcs: Args |
Szkriptet futtat a kódtárból egy eszközön. Az Args paraméter át lesz adva a szkriptnek. Időtúllépés 10 perc után. |
| GetFile | Kulcs: Elérési út Érték: <Fájl elérési útja> |
Fájl gyűjtése egy eszközről. MEGJEGYZÉS: Az elérési úton lévő fordított perjeleknek feloldva kell lenniük. |
Válasz
Ha sikeres, a metódus a értéket adja
201 Createdvissza.Műveletentitás. Ha a megadott azonosítóval rendelkező gép nem található, a következőt látja
404 Not Found: .
Példa
Példa kérésre
Íme egy példa a kérésre.
POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/runliveresponse
```JSON
{
"Commands":[
{
"type":"RunScript",
"params":[
{
"key":"ScriptName",
"value":"minidump.ps1"
},
{
"key":"Args",
"value":"OfficeClickToRun"
}
]
},
{
"type":"GetFile",
"params":[
{
"key":"Path",
"value":"C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
}
]
}
],
"Comment":"Testing Live Response API"
}
Példa válaszra
Íme egy példa a válaszra.
Az egyes parancsállapotok lehetséges értékei a következők: "Létrehozva", "Befejezve" és "Sikertelen".
HTTP/1.1 200 Ok
Tartalomtípus: application/json
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#MachineActions/$entity",
"id": "{machine_action_id}",
"type": "LiveResponse",
"requestor": "analyst@microsoft.com",
"requestorComment": "Testing Live Response API",
"status": "Pending",
"machineId": "{machine_id}",
"computerDnsName": "hostname",
"creationDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
"lastUpdateDateTimeUtc": "2021-02-04T15:36:52.7788848Z",
"errorHResult": 0,
"commands": [
{
"index": 0,
"startTime": null,
"endTime": null,
"commandStatus": "Created",
"errors": [],
"command": {
"type": "RunScript",
"params": [
{
"key": "ScriptName",
"value": "minidump.ps1"
},{
"key": "Args",
"value": "OfficeClickToRun"
}
]
}
}, {
"index": 1,
"startTime": null,
"endTime": null,
"commandStatus": "Created",
"errors": [],
"command": {
"type": "GetFile",
"params": [{
"key": "Path", "value": "C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip"
}
]
}
}
]
}
Kapcsolódó témakörök
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.