Obter resultados de resposta ao vivo

Aplica-se a:

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Observação

Se você for um cliente do Governo dos EUA, use os URIs listados no Microsoft Defender for Endpoint para clientes do Governo dos EUA.

Dica

Para melhorar o desempenho, você pode usar o servidor mais próximo de sua localização geográfica:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

Descrição da API

Recupera um resultado de comando de resposta ao vivo específico pelo índice.

Limitações

  1. Limitações de taxa para essa API são 100 chamadas por minuto e 1500 chamadas por hora.

Requisitos mínimos

Antes de iniciar uma sessão em um dispositivo, certifique-se de atender aos seguintes requisitos:

Permissões

Uma das seguintes permissões é necessária para chamar essa API. Para saber mais, incluindo como escolher permissões, consulte Get started.

Tipo de permissão Permissão Nome de exibição de permissão
Aplicativo Machine.Read.All ''Ler todos os perfis de máquina''
Aplicativo "Machine.ReadWrite.All 'Ler e gravar todas as informações do computador'
Delegado (conta corporativa ou de estudante) Machine.LiveResponse Executar resposta ao vivo em um computador específico

Solicitação HTTP

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

Cabeçalhos de solicitação

Nome Tipo Descrição
Autorização String {token} de portador. Obrigatório.

Corpo da solicitação

Vazio

Resposta

Se tiver êxito, este método retornará 200, código de resposta Ok com o objeto que contém o link para o resultado do comando na propriedade value. Esse link é válido por 30 minutos e deve ser usado imediatamente para baixar o pacote para um armazenamento local. Um link expirado pode ser re-criado por outra chamada e não é necessário executar a resposta ao vivo novamente.

Propriedades de transcrição de runscript:

Propriedade Descrição
script_name Nome do script executado
exit_code Código de saída de script executado
script_output Saída padrão de script executada
script_errors Saída de erro padrão de script executada

Exemplo

Exemplo de solicitação

Este é um exemplo da solicitação.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Exemplo de resposta

Veja a seguir um exemplo da resposta.

HTTP/1.1 200 Ok

Tipo de conteúdo: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Conteúdo do arquivo:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}