Obtener resultados de respuesta en directo

Se aplica a:

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Nota

Si es un cliente del Gobierno de Estados Unidos, use los URI que aparecen en Microsoft Defender para endpoints para clientes de US Government.

Sugerencia

Para un mejor rendimiento, puede usar el servidor más cerca de la ubicación geográfica:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

Descripción de la API

Recupera un resultado de comando de respuesta en directo específico por su índice.

Limitaciones

  1. Las limitaciones de velocidad para esta API son 100 llamadas por minuto y 1500 llamadas por hora.

Requisitos mínimos

Antes de iniciar una sesión en un dispositivo, asegúrate de cumplir los siguientes requisitos:

Permisos

Se requiere uno de los siguientes permisos para llamar a esta API. Para obtener más información, incluido cómo elegir permisos, vea Get started.

Tipo de permiso Permiso Nombre para mostrar de permisos
Aplicación Machine.Read.All ''Leer todos los perfiles de máquina''
Aplicación "Machine.ReadWrite.All 'Leer y escribir toda la información de la máquina'
Delegado (cuenta profesional o educativa) Machine.LiveResponse Ejecutar respuesta en directo en un equipo específico

Solicitud HTTP

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

Encabezados de solicitud

Nombre Tipo Descripción
Authorization Cadena {token} de portador. Obligatorio.

Cuerpo de la solicitud

En blanco

Respuesta

Si se realiza correctamente, este método devuelve 200, Ok código de respuesta con el objeto que contiene el vínculo al resultado del comando en la propiedad value. Este vínculo es válido durante 30 minutos y debe usarse inmediatamente para descargar el paquete en un almacenamiento local. Otra llamada puede volver a crear un vínculo expirado y no es necesario volver a ejecutar la respuesta en directo.

Propiedades de transcripción de Runscript:

Propiedad Descripción
script_name Nombre de script ejecutado
exit_code Código de salida de script ejecutado
script_output Salida estándar de script ejecutada
script_errors Salida de error estándar de script ejecutada

Ejemplo

Ejemplo de solicitud

Aquí tiene un ejemplo de la solicitud.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Ejemplo de respuesta

Aquí tiene un ejemplo de la respuesta.

HTTP/1.1 200 Ok

Tipo de contenido: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Contenido del archivo:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}