Obter resultados de resposta ao vivo

  • Artigo

Aplica-se a:

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Observação

Se você for um cliente do governo dos EUA, use as URIs listadas em Microsoft Defender para Ponto de Extremidade para clientes do governo dos EUA.

Dica

Para obter um melhor desempenho, você pode usar o servidor mais próximo da localização geográfica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Descrição da API

Recupera um resultado de comando de resposta ao vivo específico por seu índice.

Limitações

  1. As limitações de taxa para essa API são 100 chamadas por minuto e 1500 chamadas por hora.

Requisitos mínimos

Antes de iniciar uma sessão em um dispositivo, verifique se você atende aos seguintes requisitos:

Permissões

Uma das seguintes permissões é necessária para chamar esta API. Para saber mais, incluindo como escolher permissões, consulte Introdução.

Tipo de permissão Permissão Nome da exibição de permissão
Application Machine.Read.All Ler todos os perfis de máquina
Application Machine.ReadWrite.All Ler e gravar todas as informações do computador
Delegado (conta corporativa ou de estudante) Machine.LiveResponse Executar resposta ao vivo em um computador específico

Solicitação HTTP

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

Cabeçalhos de solicitação

Nome Tipo Descrição
Autorização Cadeia de caracteres {token} de portador. Obrigatório.

Corpo da solicitação

Vazio

Resposta

Se for bem-sucedido, esse método retornará 200, código de resposta Ok com objeto que mantém o link para o resultado do comando na propriedade value . Esse link é válido por 30 minutos e deve ser usado imediatamente para baixar o pacote em um armazenamento local. Um link expirado pode ser recriado por outra chamada e não há necessidade de executar a resposta ao vivo novamente.

Propriedades de transcrição runscript:

Propriedade Descrição
script_name Nome do script executado
exit_code Código de saída de script executado
script_output Saída padrão de script executada
script_errors Saída de erro padrão de script executada

Exemplo

Exemplo de solicitação

Aqui está um exemplo da solicitação.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Exemplo de resposta

Veja um exemplo de resposta.

HTTP/1.1 200 Ok

Tipo de conteúdo: aplicativo/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Conteúdo do arquivo:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.