Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Możliwość eksportowania luk w zabezpieczeniach oprogramowania na urządzenie zwraca wszystkie znane luki w zabezpieczeniach oprogramowania i ich szczegóły dla wszystkich urządzeń na poszczególnych urządzeniach. O ile nie wskazano inaczej, wszystkie wymienione metody oceny eksportu to pełny eksport i urządzenie (określane również jako dla każdego urządzenia).
Różne wywołania interfejsu API pobierają różne typy danych. Ponieważ ilość danych może być duża, można pobrać trzy sposoby:
Eksportowanie oceny luk w zabezpieczeniach oprogramowania: odpowiedź JSON Interfejs API ściąga wszystkie dane w organizacji jako odpowiedzi JSON. Ta metoda jest najlepsza w przypadku małych organizacji z urządzeniami o rozmiarze mniejszym niż 100 K. Odpowiedź jest podzielona na strony, więc możesz użyć pola @odata.nextLink z odpowiedzi, aby pobrać następne wyniki.
Eksportowanie oceny luk w zabezpieczeniach oprogramowania: za pośrednictwem plików To rozwiązanie interfejsu API umożliwia szybsze i bardziej niezawodne ściąganie większych ilości danych. Usługa Via-files jest zalecana dla dużych organizacji z ponad 100-K urządzeń. Ten interfejs API pobiera wszystkie dane w organizacji jako pliki do pobrania. Odpowiedź zawiera adresy URL umożliwiające pobranie wszystkich danych z usługi Azure Storage. Ten interfejs API umożliwia pobranie wszystkich danych z usługi Azure Storage w następujący sposób:
- Wywołaj interfejs API, aby uzyskać listę adresów URL pobierania ze wszystkimi danymi organizacji.
- Pobierz wszystkie pliki przy użyciu adresów URL pobierania i przetwórz dane zgodnie z tym, co chcesz.
Ocena luk w zabezpieczeniach oprogramowania eksportowania różnic: odpowiedź JSON Zwraca tabelę z wpisem dla każdej unikatowej kombinacji elementów: DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId i EventTimestamp. Interfejs API pobiera dane w organizacji jako odpowiedzi JSON. Odpowiedź jest podzielona na strony, więc możesz użyć @odata.nextLink pola z odpowiedzi, aby pobrać następne wyniki.
Pełna "ocena luk w zabezpieczeniach oprogramowania (odpowiedź JSON)" służy do uzyskania całej migawki oceny luk w zabezpieczeniach oprogramowania organizacji według urządzenia. Jednak wywołanie interfejsu API eksportu różnicowego służy do pobierania tylko zmian, które wystąpiły między wybraną datą a bieżącą datą (wywołanie interfejsu API "delta"). Zamiast za każdym razem uzyskiwać pełny eksport z dużą ilością danych, otrzymujesz tylko określone informacje o nowych, naprawionych i zaktualizowanych lukach w zabezpieczeniach. Wywołanie interfejsu API odpowiedzi JSON eksportu różnicowego może również służyć do obliczania różnych wskaźników KPI, takich jak "ile luk w zabezpieczeniach zostało naprawionych?" lub "ile nowych luk w zabezpieczeniach dodano do mojej organizacji?"
Ponieważ wywołanie interfejsu API odpowiedzi JSON eksportu delty dla luk w zabezpieczeniach oprogramowania zwraca dane tylko dla docelowego zakresu dat, nie jest uważane za pełny eksport.
Zbierane dane (przy użyciu odpowiedzi JSON lub za pośrednictwem plików) są bieżącą migawką bieżącego stanu. Nie zawiera danych historycznych. Aby zbierać dane historyczne, klienci muszą zapisywać dane we własnych magazynach danych.
1. Eksportowanie oceny luk w zabezpieczeniach oprogramowania (odpowiedź JSON)
Opis metody interfejsu API 1.1
Ta odpowiedź interfejsu API zawiera wszystkie dane zainstalowanego oprogramowania na urządzenie. Zwraca tabelę z wpisem dla każdej unikatowej kombinacji elementów DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion i CVEID.
1.1.1 Ograniczenia
- Maksymalny rozmiar strony to 200 000.
- Ograniczenia szybkości dla tego interfejsu API to 30 wywołań na minutę i 1000 wywołań na godzinę.
1.2 Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Używanie interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender, aby uzyskać szczegółowe informacje.
| Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
|---|---|---|
| Aplikacja | Vulnerability.Read.All | "Odczytywanie informacji o lukach w zabezpieczeniach dotyczących zarządzania zagrożeniami i lukami w zabezpieczeniach" |
| Delegowane (konto służbowe) | Luka w zabezpieczeniach.Odczyt | "Odczytywanie informacji o lukach w zabezpieczeniach dotyczących zarządzania zagrożeniami i lukami w zabezpieczeniach" |
Adres URL 1.3
GET /api/machines/SoftwareVulnerabilitiesByMachine
Parametry 1.4
- pageSize (wartość domyślna = 50 000): liczba wyników w odpowiedzi.
- $top: liczba wyników do zwrócenia (nie zwraca @odata.nextLink i dlatego nie ściąga wszystkich danych).
1.5 Właściwości
- Każdy rekord to 1 KB danych. Ten rozmiar należy wziąć pod uwagę podczas wybierania poprawnego parametru pageSize.
- W odpowiedzi mogą zostać zwrócone inne kolumny. Te kolumny są tymczasowe i mogą zostać usunięte, więc użyj tylko udokumentowanych kolumn.
- Właściwości zdefiniowane w poniższej tabeli są wyświetlane alfabetycznie według identyfikatora właściwości. Podczas uruchamiania tego interfejsu API wynikowe dane wyjściowe nie muszą być zwracane w tej samej kolejności wymienionej w tej tabeli.
| Właściwość (ID) | Typ danych | Opis | Przykład zwracanej wartości |
|---|---|---|---|
| CveId | Ciąg | Unikatowy identyfikator przypisany do luki w zabezpieczeniach w systemie Common Vulnerabilities and Exposures (CVE). | CVE-2020-15992 |
| CvssScore | Podwójne | Wynik CVSS CVE. | 6.2 |
| DeviceId | Ciąg | Unikatowy identyfikator urządzenia w usłudze. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | Ciąg | W pełni kwalifikowana nazwa domeny (FQDN) urządzenia. | johnlaptop.europe.contoso.com |
| DiskPaths | Tablica[ciąg] | Dysk wskazuje, że produkt jest zainstalowany na urządzeniu. | ["C:\Program Files (x86)\Microsoft\Silverlight\Application\silverlight.exe"] |
| ExploitabilityLevel | Ciąg | Poziom wykorzystania tej luki w zabezpieczeniach (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| FirstSeenTimestamp | Ciąg | Po raz pierwszy ten produkt CVE był widoczny na urządzeniu. | 2020-11-03 10:13:34.8476880 |
| ID | Ciąg | Unikatowy identyfikator rekordu. | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | Ciąg | Ostatni raz oprogramowanie zostało zgłoszone na urządzeniu. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | Ciąg | Platforma systemu operacyjnego działającego na urządzeniu. Ta właściwość wskazuje określone systemy operacyjne z odmianami w tej samej rodzinie, takimi jak Windows 10 i Windows 11. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender obsługiwanych systemów operacyjnych i platform. | Windows10 i Windows 11 |
| RbacGroupName | Ciąg | Grupa kontroli dostępu opartej na rolach (RBAC). Jeśli to urządzenie nie jest przypisane do żadnej grupy RBAC, wartość to "Nieprzypisane". Jeśli organizacja nie zawiera żadnych grup RBAC, wartość to "Brak". | Serwery |
| ZalecenieReferencja | Ciąg | Odwołanie do identyfikatora zalecenia związanego z tym oprogramowaniem. | va-microsoft-silverlight |
| RecommendedSecurityUpdate (opcjonalnie) | Ciąg | Nazwa lub opis aktualizacji zabezpieczeń udostępnionej przez dostawcę oprogramowania w celu rozwiązania problemu z luką w zabezpieczeniach. | Aktualizacje zabezpieczeń z kwietnia 2020 r. |
| RecommendedSecurityUpdateId (opcjonalnie) | Ciąg | Identyfikator odpowiednich aktualizacji zabezpieczeń lub identyfikatora odpowiednich wskazówek lub artykułów baza wiedzy (KB) | 4550961 |
| RegistryPaths | Tablica[ciąg] | Rejestr wskazuje, że produkt jest zainstalowany na urządzeniu. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftSilverlight"] |
| SecurityUpdateAvailable | Wartość logiczna | Wskazuje, czy aktualizacja zabezpieczeń jest dostępna dla oprogramowania. | Możliwe wartości to true lub false. |
| SoftwareName | Ciąg | Nazwa produktu programowego. | Chrome |
| SoftwareVendor | Ciąg | Nazwa dostawcy oprogramowania. | |
| SoftwareVersion | Ciąg | Numer wersji produktu oprogramowania. | 81.0.4044.138 |
| VulnerabilitySeverityLevel | Ciąg | Poziom ważności przypisany do luki w zabezpieczeniach na podstawie wyniku CVSS. | Średnie |
1.6 Przykłady
1.6.1 Przykład żądania
GET https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pageSize=5
Przykład odpowiedzi 1.6.2
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetVulnerability)",
"value": [
{
"id": "00044f612345baf759462dbe6db733b6a9c59ab4_edge_10.0.17763.1637__",
"deviceId": "00044f612345daf756462bde6bd733b9a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2de2f5ea3142726e63f16a.DomainPII_21eeb80d089e79bdfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "edge",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-edge",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462bde6db733b9a9c56ad4_.net_framework_4.0.0.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ad4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eeb80b086e79bdfa178eabfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": ".net_framework",
"softwareVersion": "4.0.0.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"SOFTWARE\\Microsoft\\NET Framework Setup\\NDP\\v4.0\\Client\\Install"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-.net_framework",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462dbe6db733d6a9c59ab4_system_center_2012_endpoint_protection_4.10.209.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eed80b089e79bdfa178eadfa25e8be6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "system_center_2012_endpoint_protection",
"softwareVersion": "4.10.209.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Microsoft Security Client"
],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-system_center_2012_endpoint_protection",
"securityUpdateAvailable": true
},
{
"id": "00044f612345bdaf759462dbe6bd733b6a9c59ab4_onedrive_20.245.1206.2__",
"deviceId": "00044f91234daf759492dbe6bd733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_189663d45612eed224b2be2f5ea3142729e63f16a.DomainPII_21eed80b086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.245.1206.2",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2944539346-1310925172-2349113062-1001\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"securityUpdateAvailable": true
},
{
"id": "00044f912345daf759462bde6db733b6a9c56ab4_windows_10_10.0.17763.1637__",
"deviceId": "00044f912345daf756462dbe6db733d6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eeb224d2be2f5ea3142729e63f16a.DomainPII_21eeb80d086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "windows_10" "Windows_11",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-windows_10" "va-_-microsoft-_-windows_11",
"securityUpdateAvailable": true
}
],
"@odata.nextLink": "https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}
2. Eksportowanie oceny luk w zabezpieczeniach oprogramowania (za pośrednictwem plików)
Opis metody interfejsu API w wersji 2.1
Ta odpowiedź interfejsu API zawiera wszystkie dane zainstalowanego oprogramowania na urządzenie. Zwraca tabelę z wpisem dla każdej unikatowej kombinacji elementów DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CVEID.
2.1.2 Ograniczenia
Ograniczenia szybkości dla tego interfejsu API to 5 wywołań na minutę i 20 wywołań na godzinę.
2.2 Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Używanie interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender, aby uzyskać szczegółowe informacje.
| Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
|---|---|---|
| Aplikacja | Vulnerability.Read.All | "Odczytywanie informacji o lukach w zabezpieczeniach dotyczących zarządzania zagrożeniami i lukami w zabezpieczeniach" |
| Delegowane (konto służbowe) | Luka w zabezpieczeniach.Odczyt | "Odczytywanie informacji o lukach w zabezpieczeniach dotyczących zarządzania zagrożeniami i lukami w zabezpieczeniach" |
Adres URL 2.3
GET /api/machines/SoftwareVulnerabilitiesExport
Parametry 2.4
-
sasValidHours: liczba godzin, dla których adresy URL pobierania są prawidłowe. Maksymalna wartość to 6 godzin.
2.5 Właściwości
- Pliki są Skompresowane GZIP & w wielowierszowym formacie JSON.
- Adresy URL pobierania są prawidłowe przez 1 godzinę, chyba
sasValidHoursże jest używany parametr. - Aby uzyskać maksymalną szybkość pobierania danych, możesz upewnić się, że pobierasz dane z tego samego regionu Azure, w którym znajdują się dane.
- Każdy rekord to 1 KB danych. Należy wziąć to pod uwagę podczas wybierania prawidłowego parametru pageSize.
- W odpowiedzi mogą zostać zwrócone dodatkowe kolumny. Te kolumny są tymczasowe i mogą zostać usunięte, więc użyj tylko udokumentowanych kolumn.
| Właściwość (ID) | Typ danych | Opis | Przykład zwracanej wartości |
|---|---|---|---|
| Eksportowanie plików | array[string] | Lista adresów URL pobierania plików przechowujących bieżącą migawkę organizacji. | ["https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...1", "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...2"] |
| GeneratedTime | Ciąg | Czas wygenerowania eksportu. | 2021-05-20T08:00:00Z |
2.6 Przykłady
2.6.1 Przykład żądania
GET https://api-us.securitycenter.contoso.com/api/machines/SoftwareVulnerabilitiesExport
Przykład odpowiedzi 2.6.2
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles": [
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c000.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c001.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c002.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=..."
],
"generatedTime": "2021-01-11T11:01:00Z"
}
3. Ocena luk w zabezpieczeniach oprogramowania eksportowania różnicowego (odpowiedź JSON)
Opis metody interfejsu API 3.1
Zwraca tabelę z wpisem dla każdej unikatowej kombinacji elementów DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId. Interfejs API pobiera dane w organizacji jako odpowiedzi JSON. Odpowiedź jest podzielona na strony, więc możesz użyć @odata.nextLink pola z odpowiedzi, aby pobrać następne wyniki. W przeciwieństwie do pełnej oceny luk w zabezpieczeniach oprogramowania (odpowiedź JSON), która służy do uzyskania całej migawki oceny luk w zabezpieczeniach oprogramowania organizacji według urządzenia, wywołanie interfejsu API odpowiedzi JSON eksportu różnicowego służy do pobierania tylko zmian, które wystąpiły między wybraną datą a bieżącą datą (wywołanie interfejsu API "delta"). Zamiast za każdym razem uzyskiwać pełny eksport z dużą ilością danych, otrzymujesz tylko określone informacje o nowych, naprawionych i zaktualizowanych lukach w zabezpieczeniach. Wywołanie interfejsu API odpowiedzi JSON eksportu różnicowego może również służyć do obliczania różnych wskaźników KPI, takich jak "ile luk w zabezpieczeniach zostało naprawionych?" lub "ile nowych luk w zabezpieczeniach dodano do mojej organizacji?"
Odświeżamy eksport pełnej oceny luk w zabezpieczeniach oprogramowania (flat/full VA) według urządzenia co sześć godzin i przechowujemy każdą migawkę w magazynie obiektów blob. Interfejs API zawsze służy najnowszej migawki, aby podkreślić wywołanie get punkt końcowy nie będzie wyzwalać generowania, wywołania get punktu końcowego będzie po prostu odczytać najnowsze płaskie lub delta po sinceTime.
Pomyślne ukończenie eksportu pełnej operacji va spowoduje wyzwolenie eksportu różnicowego , który przechwytuje zmiany z najnowszej płaskiej operacji va przetworzonej przez funkcję delta do nowej płaskiej va.
Duplikaty o zakresie RBAC_ Eksporty są objęte zakresem RBACGroup. Urządzenie, które przechodzi z jednej grupy RBAC do innej, pojawi się dwa razy w eksporcie delty podczas wykonywania zapytań z widokiem globalnym (RBACGroup=*), raz w poprzedniej grupie ze stanem "Fixed" i raz w bieżącej grupie ze stanem "Nowy".
rbacGroupId Użyj identyfikatorów i urządzeń razem (lub usuń duplikaty po swojej stronie), jeśli potrzebujesz pojedynczego autorytatywnego rekordu na urządzenie.
3.1.0 Zalecany wzorzec ściągania
Plan bazowy — pobierz pełny eksport VA(Flat VA) w preferowanym okresie (co tydzień jest często wystarczający).
Bądź na bieżąco — eksport różnicy między pełnymi migawkami (w przeszłości można wysyłać zapytania o różnicę do 14 dni).
Obsługa ruchów RBAC — podczas przetwarzania delty zduplikowane wpisy, w których ta sama
Id(deviceId_software_wersja _ cve)jest wyświetlana pod wielomarbacGroupIdwartościami.Gdy "Status" = Fix" obliczenie "EventTimestamp"- "FirstSeenTimestamp" powinno dać oszacowanie, kiedy CVE został ustalony do stopnia szczegółowości 6 godzin (ze względu na interwał przebiegu procesu roboczego delta).
3.1.1 Ograniczenia
- Maksymalny rozmiar strony to 200 000.
- Parametr sinceTime ma maksymalnie 14 dni.
- Ograniczenia szybkości dla tego interfejsu API to 30 wywołań na minutę i 1000 wywołań na godzinę.
3.2 Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Używanie interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender, aby uzyskać szczegółowe informacje.
| Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
|---|---|---|
| Aplikacja | Vulnerability.Read.All | "Odczytywanie informacji o lukach w zabezpieczeniach dotyczących zarządzania zagrożeniami i lukami w zabezpieczeniach" |
| Delegowane (konto służbowe) | Luka w zabezpieczeniach.Odczyt | "Odczytywanie informacji o lukach w zabezpieczeniach dotyczących zarządzania zagrożeniami i lukami w zabezpieczeniach" |
Adres URL 3.3
GET /api/machines/SoftwareVulnerabilityChangesByMachine
3.4 Parametry
- sinceTime (wymagane): czas rozpoczęcia, z którego chcesz zobaczyć zmiany danych. Zarządzanie lukami w zabezpieczeniach generuje dane dotyczące nowych i zaktualizowanych luk w zabezpieczeniach co 6 godzin. Zwrócone dane obejmują wszystkie zmiany przechwycone w okresie 6-godzinnym, do którego przypada określona wartość sinceTime, wraz ze zmianami w kolejnych 6-godzinnych okresach do ostatnio wygenerowanych danych włącznie.
- pageSize (wartość domyślna = 50 000): liczba wyników w odpowiedzi.
- $top: liczba wyników do zwrócenia (nie zwraca @odata.nextLink i dlatego nie ściąga wszystkich danych).
3.5 Właściwości
Każdy zwrócony rekord zawiera wszystkie dane z pełnej oceny luk w zabezpieczeniach oprogramowania eksportu według interfejsu API urządzenia oraz dwa kolejne pola: EventTimestamp i Status.
- W odpowiedzi mogą zostać zwrócone inne kolumny. Te kolumny są tymczasowe i mogą zostać usunięte, więc użyj tylko udokumentowanych kolumn.
- Właściwości zdefiniowane w poniższej tabeli są wyświetlane alfabetycznie według identyfikatora właściwości. Podczas uruchamiania tego interfejsu API wynikowe dane wyjściowe nie muszą być zwracane w tej samej kolejności wymienionej w tej tabeli.
| Właściwość (ID) | Typ danych | Opis | Przykład zwróconej wartości |
|---|---|---|---|
| CveId | Ciąg | Unikatowy identyfikator przypisany do luki w zabezpieczeniach w systemie Common Vulnerabilities and Exposures (CVE). | CVE-2020-15992 |
| CvssScore | Podwójne | Wynik CVSS CVE. | 6.2 |
| DeviceId | Ciąg | Unikatowy identyfikator urządzenia w usłudze. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | Ciąg | W pełni kwalifikowana nazwa domeny (FQDN) urządzenia. | johnlaptop.europe.contoso.com |
| DiskPaths | Tablica[ciąg] | Dysk wskazuje, że produkt jest zainstalowany na urządzeniu. | ["C:\Program Files (x86)\Microsoft\Silverlight\Application\silverlight.exe"] |
| EventTimestamp | Ciąg | Czas znalezienia tego zdarzenia różnicowego. | 2020-11-03 10:13:34.8476880 |
| ExploitabilityLevel | Ciąg | Poziom wykorzystania tej luki w zabezpieczeniach (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| IsOnboarded | Wartość logiczna | Wskazuje, czy urządzenie jest dołączone, czy nie. | Możliwe wartości to true lub false. |
| FirstSeenTimestamp | Ciąg | Po raz pierwszy cve tego produktu był widoczny na urządzeniu. | 2020-11-03 10:13:34.8476880 |
| ID | Ciąg | Unikatowy identyfikator rekordu. | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | Ciąg | Ostatni raz oprogramowanie zostało zgłoszone na urządzeniu. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | Ciąg | Platforma systemu operacyjnego działającego na urządzeniu; specyficznych systemów operacyjnych z odmianami w tej samej rodzinie, takimi jak Windows 10 i Windows 11. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender obsługiwanych systemów operacyjnych i platform. | Windows10 i Windows 11 |
| RbacGroupName | Ciąg | Grupa kontroli dostępu opartej na rolach (RBAC). Jeśli to urządzenie nie jest przypisane do żadnej grupy RBAC, wartość to "Nieprzypisane". | Serwery |
| ZalecenieReferencja | ciąg | Odwołanie do identyfikatora zalecenia związanego z tym oprogramowaniem. | va--microsoft--silverlight |
| RecommendedSecurityUpdate | Ciąg | Nazwa lub opis aktualizacji zabezpieczeń udostępnionej przez dostawcę oprogramowania w celu rozwiązania problemu z luką w zabezpieczeniach. | Aktualizacje zabezpieczeń z kwietnia 2020 r. |
| RecommendedSecurityUpdateId | Ciąg | Identyfikator odpowiednich aktualizacji zabezpieczeń lub identyfikatora odpowiednich wskazówek lub artykułów baza wiedzy (KB) | 4550961 |
| RegistryPaths | Tablica[ciąg] | Rejestr wskazuje, że produkt jest zainstalowany na urządzeniu. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome"] |
| SoftwareName | Ciąg | Nazwa produktu programowego. | Chrome |
| SoftwareVendor | Ciąg | Nazwa dostawcy oprogramowania. | |
| SoftwareVersion | Ciąg | Numer wersji produktu oprogramowania. | 81.0.4044.138 |
| Stan | Ciąg | Nowe (dla nowej luki w zabezpieczeniach wprowadzonej na urządzeniu) (1) Naprawiono (jeśli ta luka w zabezpieczeniach nie istnieje już na urządzeniu, co oznacza, że została skorygowana). (2) Zaktualizowano (jeśli luka w zabezpieczeniach na urządzeniu uległa zmianie. Możliwe zmiany to: wynik CVSS, poziom możliwości wykorzystania, poziom ważności, DiskPaths, RegistryPaths, RecommendedSecurityUpdate). | Stały |
| VulnerabilitySeverityLevel | Ciąg | Poziom ważności przypisany do luki w zabezpieczeniach i oparty na wyniku CVSS. | Średnie |
Wyjaśnienia
Jeśli oprogramowanie zostało zaktualizowane z wersji 1.0 do wersji 2.0, a obie wersje są udostępniane CVE-A, otrzymasz dwa oddzielne zdarzenia:
- Naprawiono: naprawiono cve-a w wersji 1.0.
- Nowość: dodano cve-a w wersji 2.0.
Jeśli określona luka w zabezpieczeniach (na przykład CVE-A) została po raz pierwszy wyświetlona w określonym czasie (na przykład 10 stycznia) w oprogramowaniu w wersji 1.0, a kilka dni później to oprogramowanie zostało zaktualizowane do wersji 2.0, która również została uwidoczniona na tym samym CVE-A, otrzymasz te dwa oddzielone zdarzenia:
- Naprawiono: CVE-X, FirstSeenTimestamp 10 stycznia, wersja 1.0.
- Nowość: CVE-X, FirstSeenTimestamp 10 stycznia, wersja 2.0.
3.6 Przykłady
3.6.1 Przykład żądania
GET https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilityChangesByMachine?pageSize=5&sinceTime=2021-05-19T18%3A35%3A49.924Z
Przykład odpowiedzi 3.6.2
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.DeltaAssetVulnerability)",
"value": [
{
"id": "008198251234544f7dfa715e278d4cec0c16c171_chrome_87.0.4280.88__",
"deviceId": "008198251234544f7dfa715e278b4cec0c19c171",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_1c8fee370690ca24b6a0d3f34d193b0424943a8b8.DomainPII_0dc1aee0fa366d175e514bd91a9e7a5b2b07ee8e.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "87.0.4280.88",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Google Chrome"
],
"lastSeenTimestamp": "2021-01-04 00:29:42",
"firstSeenTimestamp": "2020-11-06 03:12:44",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "00e59c61234533860738ecf488eec8abf296e41e_onedrive_20.64.329.3__",
"deviceId": "00e56c91234533860738ecf488eec8abf296e41e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_82c13a8ad8cf3dbaf7bf34fada9fa3aebc124116.DomainPII_21eeb80d086e79dbfa178eadfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.64.329.3",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2127521184-1604012920-1887927527-24918864\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-11 19:49:48",
"firstSeenTimestamp": "2020-12-07 18:25:47",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "01aa8c73095bb12345918663f3f94ce322107d24_firefox_83.0.0.0_CVE-2020-26971_",
"deviceId": "01aa8c73065bb12345918693f3f94ce322107d24",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_42684eb981bea2d670027e7ad2caafd3f2b381a3.DomainPII_21eed80b086e76dbfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "mozilla",
"softwareName": "firefox",
"softwareVersion": "83.0.0.0",
"cveId": "CVE-2020-26971",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "193220",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Mozilla Firefox 83.0 (x86 en-US)"
],
"lastSeenTimestamp": "2021-01-05 17:04:30",
"firstSeenTimestamp": "2020-05-06 12:42:19",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-mozilla-_-firefox",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "026f0fcb12345fbd2decd1a339702131422d362e_project_16.0.13701.20000__",
"deviceId": "029f0fcb13245fbd2decd1a336702131422d392e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_a5706750acba75f15d69cd17f4a7fcd268d6422c.DomainPII_f290e982685f7e8eee168b4332e0ae5d2a069cd6.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "project",
"softwareVersion": "16.0.13701.20000",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\ProjectProRetail - en-us"
],
"lastSeenTimestamp": "2021-01-03 23:38:03",
"firstSeenTimestamp": "2019-08-01 22:56:12",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-project",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "038df381234510b357ac19d0113ef622e4e212b3_chrome_81.0.4044.138_CVE-2020-16011_",
"deviceId": "038df381234510d357ac19b0113ef922e4e212b3",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596a43a2ef2bbfa00f6a16c0cb1d108bc63e32.DomainPII_3c5fefd2e6fda2f36257359404f6c1092aa6d4b8.net",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "81.0.4044.138",
"cveId": "CVE-2020-16011",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "ADV 200002",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{C4EBFDFD-0C55-3E5F-A919-E3C54949024A}"
],
"lastSeenTimestamp": "2020-12-10 22:45:41",
"firstSeenTimestamp": "2020-07-26 02:13:43",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
}
],
"@odata.nextLink": "https://wpatdadi-eus-stg.cloudapp.net/api/machines/SoftwareVulnerabilitiesTimeline?sincetime=2021-01-11&pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}