每个设备导出软件漏洞的功能将返回所有已知软件漏洞及其针对每个设备的详细信息。 除非另有说明,否则列出的所有导出评估方法是 完全导出 , 并且按设备 (也称为 按设备) 。
不同的 API 调用获取不同类型的数据。 由于数据量可能很大,可通过三种方式检索数据:
导出软件漏洞评估: JSON 响应 该 API 以 Json 响应的形式拉取组织中的所有数据。 此方法最适合 设备少于 100-K 的小型组织。 响应是分页的,因此可以使用响应中的 @odata.nextLink 字段来提取下一个结果。
导出软件漏洞评估: 通过文件 借助此 API 解决方案,可以更快、更可靠地拉取大量数据。 对于超过 100-K 台设备的大型组织,建议使用 Via 文件。 此 API 将组织中的所有数据作为下载文件拉取。 响应包含用于从 Azure 存储下载所有数据的 URL。 此 API 使你能够从 Azure 存储下载所有数据,如下所示:
- 调用 API 以获取包含所有组织数据的下载 URL 列表。
- 使用下载 URL 下载所有文件,并根据需要处理数据。
增量导出软件漏洞评估: JSON 响应 返回一个表,其中包含每个唯一组合的条目:DeviceId、SoftwareVendor、SoftwareName、SoftwareVersion、CveId 和 EventTimestamp。 API 以 Json 响应的形式拉取组织中的数据。 响应是分页的,因此可以使用 @odata.nextLink 响应中的 字段来提取下一个结果。
完整的“软件漏洞评估 (JSON 响应) ”用于按设备获取组织软件漏洞评估的完整快照。 但是,增量导出 API 调用用于仅提取所选日期与当前日期之间发生的更改, (“delta”API 调用) 。 你只需获取有关新漏洞、已修复漏洞和更新漏洞的特定信息,而不是每次获取包含大量数据的完整导出。 增量导出 JSON 响应 API 调用还可用于计算不同的 KPI,例如“修复了多少漏洞?”或“向我的组织添加了多少个新漏洞?”
由于针对软件漏洞的 Delta 导出 JSON 响应 API 调用仅返回目标日期范围的数据,因此不会将其视为 完全导出。
使用 Json 响应或通过文件 (收集的数据) 是当前状态的当前快照。 它不包含历史数据。 若要收集历史数据,客户必须将数据保存在自己的数据存储中。
1. 导出软件漏洞评估 (JSON 响应)
1.1 API 方法说明
此 API 响应包含每个设备已安装软件的所有数据。 返回一个表,其中包含 DeviceId、SoftwareVendor、SoftwareName、SoftwareVersion 和 CVEID 的每个唯一组合的条目。
1.1.1 限制
- 最大页面大小为 200,000。
- 此 API 的速率限制是每分钟 30 个调用和每小时 1,000 个调用。
1.2 权限
要调用此 API,需要以下权限之一。 若要了解详细信息(包括如何选择权限),请参阅使用 Microsoft Defender for Endpoint API 了解详细信息。
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Vulnerability.Read.All | “读取威胁和漏洞管理漏洞信息” |
| 委派(工作或学校帐户) | Vulnerability.Read | “读取威胁和漏洞管理漏洞信息” |
1.3 URL
GET /api/machines/SoftwareVulnerabilitiesByMachine
1.4 参数
- pageSize (默认值 = 50,000) :响应结果数。
- $top:要返回的结果数 (不返回 @odata.nextLink ,因此不会拉取所有数据) 。
1.5 属性
- 每条记录是 1 KB 的数据。 选择正确的 pageSize 参数时,应考虑到此大小。
- 响应中可能会返回其他一些列。 这些列是临时的,可能会删除,因此仅使用记录的列。
- 下表中定义的属性按属性 ID 按字母顺序列出。 运行此 API 时,生成的输出不一定按此表中列出的相同顺序返回。
| 属性 (ID) | 数据类型 | 说明 | 返回值的示例 |
|---|---|---|---|
| CveId | String | 分配给“常见漏洞和披露”下安全漏洞的唯一标识符 (CVE) 系统。 | CVE-2020-15992 |
| CvssScore | 双精度 | CVE 的 CVSS 分数。 | 6.2 |
| DeviceId | String | 服务中设备的唯一标识符。 | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | String | 设备的 FQDN) (完全限定的域名。 | johnlaptop.europe.contoso.com |
| DiskPaths | Array[string] | 磁盘证明产品已安装在设备上。 | [“C:\Program Files (x86) \Microsoft\Silverlight\Application\silverlight.exe”] |
| ExploitabilityLevel | String | 此漏洞的可利用级别 (NoExploit、ExploitIsPublic、ExploitIsVerified、ExploitIsInKit) | ExploitIsInKit |
| FirstSeenTimestamp | String | 首次在设备上看到此产品 CVE。 | 2020-11-03 10:13:34.8476880 |
| ID | String | 记录的唯一标识符。 | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | String | 上次在设备上报告软件的时间。 | 2020-11-03 10:13:34.8476880 |
| OSPlatform | String | 在设备上运行的作系统的平台。 此属性指示同一系列中具有变体的特定作系统,例如Windows 10和Windows 11。 有关详细信息,请参阅Microsoft Defender 漏洞管理支持的作系统和平台。 | Windows10 和 Windows 11 |
| RbacGroupName | String | 基于角色的访问控制 (RBAC) 组。 如果此设备未分配给任何 RBAC 组,则值为“未分配”。如果组织不包含任何 RBAC 组,则值为“无”。 | 服务器 |
| RecommendationReference | String | 对与此软件相关的建议 ID 的引用。 | va--microsoft--silverlight |
| RecommendedSecurityUpdate (可选) | String | 软件供应商为解决漏洞而提供的安全更新的名称或说明。 | 2020 年 4 月安全汇报 |
| RecommendedSecurityUpdateId (可选) | String | 适用安全更新的标识符或相应指南或知识库 (知识库文章的标识符) | 4550961 |
| RegistryPaths | Array[string] | 注册表证明产品已安装在设备中。 | [“HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftSilverlight”] |
| SecurityUpdateAvailable | 布尔值 | 指示安全更新是否可用于软件。 | 可能的值为 true 或 false。 |
| SoftwareName | String | 软件产品的名称。 | Chrome |
| SoftwareVendor | String | 软件供应商的名称。 | |
| SoftwareVersion | String | 软件产品的版本号。 | 81.0.4044.138 |
| VulnerabilitySeverityLevel | String | 根据 CVSS 分数分配给安全漏洞的严重性级别。 | 中 |
1.6 示例
1.6.1 请求示例
GET https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pageSize=5
1.6.2 响应示例
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetVulnerability)",
"value": [
{
"id": "00044f612345baf759462dbe6db733b6a9c59ab4_edge_10.0.17763.1637__",
"deviceId": "00044f612345daf756462bde6bd733b9a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2de2f5ea3142726e63f16a.DomainPII_21eeb80d089e79bdfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "edge",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-edge",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462bde6db733b9a9c56ad4_.net_framework_4.0.0.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ad4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eeb80b086e79bdfa178eabfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": ".net_framework",
"softwareVersion": "4.0.0.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"SOFTWARE\\Microsoft\\NET Framework Setup\\NDP\\v4.0\\Client\\Install"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-.net_framework",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462dbe6db733d6a9c59ab4_system_center_2012_endpoint_protection_4.10.209.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eed80b089e79bdfa178eadfa25e8be6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "system_center_2012_endpoint_protection",
"softwareVersion": "4.10.209.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Microsoft Security Client"
],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-system_center_2012_endpoint_protection",
"securityUpdateAvailable": true
},
{
"id": "00044f612345bdaf759462dbe6bd733b6a9c59ab4_onedrive_20.245.1206.2__",
"deviceId": "00044f91234daf759492dbe6bd733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_189663d45612eed224b2be2f5ea3142729e63f16a.DomainPII_21eed80b086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.245.1206.2",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2944539346-1310925172-2349113062-1001\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"securityUpdateAvailable": true
},
{
"id": "00044f912345daf759462bde6db733b6a9c56ab4_windows_10_10.0.17763.1637__",
"deviceId": "00044f912345daf756462dbe6db733d6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eeb224d2be2f5ea3142729e63f16a.DomainPII_21eeb80d086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "windows_10" "Windows_11",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-windows_10" "va-_-microsoft-_-windows_11",
"securityUpdateAvailable": true
}
],
"@odata.nextLink": "https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}
2. 通过文件) 导出软件漏洞评估 (
2.1 API 方法说明
此 API 响应包含每个设备已安装软件的所有数据。 返回一个表,其中包含 DeviceId、SoftwareVendor、SoftwareName、SoftwareVersion、CVEID 的每个唯一组合的条目。
2.1.2 限制
此 API 的速率限制是每分钟 5 个调用和每小时 20 个调用。
2.2 权限
要调用此 API,需要以下权限之一。 若要了解详细信息(包括如何选择权限),请参阅使用 Microsoft Defender for Endpoint API 了解详细信息。
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Vulnerability.Read.All | “读取威胁和漏洞管理漏洞信息” |
| 委派(工作或学校帐户) | Vulnerability.Read | “读取威胁和漏洞管理漏洞信息” |
2.3 URL
GET /api/machines/SoftwareVulnerabilitiesExport
2.4 参数
-
sasValidHours:下载 URL 的有效小时数。 最长为 6 小时。
2.5 属性
- 这些文件是多行 JSON 格式的 GZIP 压缩 &。
- 除非使用 参数,
sasValidHours否则下载 URL 的有效期为 1 小时。 - 为了获得数据的最大下载速度,可以确保从数据所在的同一Azure区域下载。
- 每条记录是 1KB 的数据。 在为你选择正确的 pageSize 参数时,应考虑到这一点。
- 响应中可能会返回一些额外的列。 这些列是临时的,可能会删除,因此仅使用记录的列。
| 属性 (ID) | 数据类型 | 说明 | 返回值的示例 |
|---|---|---|---|
| 导出文件 | array[string] | 保存组织当前快照的文件的下载 URL 列表。 | ["https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...1", "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...2"] |
| GeneratedTime | String | 生成导出的时间。 | 2021-05-20T08:00:00Z |
2.6 示例
2.6.1 请求示例
GET https://api-us.securitycenter.contoso.com/api/machines/SoftwareVulnerabilitiesExport
2.6.2 响应示例
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles": [
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c000.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c001.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c002.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=..."
],
"generatedTime": "2021-01-11T11:01:00Z"
}
3. 增量导出软件漏洞评估 (JSON 响应)
3.1 API 方法说明
返回一个表,其中包含 DeviceId、SoftwareVendor、SoftwareName、SoftwareVersion、CveId 的每个唯一组合的条目。 API 以 Json 响应的形式拉取组织中的数据。 响应是分页的,因此可以使用 @odata.nextLink 响应中的 字段来提取下一个结果。 与完整的软件漏洞评估 (JSON 响应) 不同,该响应) 用于按设备获取组织软件漏洞评估的整个快照,增量导出 JSON 响应 API 调用仅用于提取所选日期与当前日期 (“delta”API 调用) 之间发生的更改。 你只需获取有关新漏洞、已修复漏洞和更新漏洞的特定信息,而不是每次获取包含大量数据的完整导出。 增量导出 JSON 响应 API 调用还可用于计算不同的 KPI,例如“修复了多少漏洞?”或“向我的组织添加了多少个新漏洞?”
我们每六小时通过设备导出刷新一次完整软件漏洞评估 (平面/完整 VA) ,并将每个快照存储在 blob 存储中。 API 始终提供最新的快照,为了强调调用获取终结点不会触发生成,调用 get 终结点将只读取自Time 之后的最新平面或增量。
成功完成完整 VA 导出将触发 增量导出 ,以捕获从 Delta 处理的最新平面 VA 到新的平面 VA 的更改。
RBAC 范围内的重复项_ 导出由 RBACGroup 限定范围。 当你使用全局视图 RBACGroup=* () 进行查询时,从一个 RBAC 组移动到另一个 RBAC 组的设备将在增量导出中出现两次,一次出现在状态为“已修复”的上一个组下,一次出现在状态为“新建”的当前组下。
rbacGroupId如果需要每个设备一条权威记录,) 将 和 设备标识符一起使用 (或删除重复项。
3.1.0 建议的拉取模式
基线 - 按首选节奏下载完整的 VA (平面 VA) 导出, (每周通常已足够) 。
保持最新 状态 - 在过去) 最多 14 天内,可以查询完整快照 (Delta 之间的增量导出。
处理 RBAC 移动 – 处理 Delta 时,删除相同
Id(deviceId_software_版本 _ cve)出现在多个rbacGroupId值下的重复条目。当“Status”= Fix“时,”EventTimestamp“-”FirstSeenTimestamp“的计算结果应提供一个估计值,因为 Delta 辅助角色运行间隔) 导致 CVE 修复的粒度达到 6 小时 (。
3.1.1 限制
- 最大页面大小为 200,000。
- sinceTime 参数最多为 14 天。
- 此 API 的速率限制是每分钟 30 个调用和每小时 1,000 个调用。
3.2 权限
要调用此 API,需要以下权限之一。 若要了解详细信息(包括如何选择权限),请参阅使用 Microsoft Defender for Endpoint API 了解详细信息。
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Vulnerability.Read.All | “读取威胁和漏洞管理漏洞信息” |
| 委派(工作或学校帐户) | Vulnerability.Read | “读取威胁和漏洞管理漏洞信息” |
3.3 URL
GET /api/machines/SoftwareVulnerabilityChangesByMachine
3.4 参数
- sinceTime (必需) :要从中查看数据更改的开始时间。 漏洞管理每 6 小时生成一次有关新漏洞和更新漏洞的数据。 返回的数据包括指定自Time 所属的 6 小时时间段内捕获的所有更改,以及任何后续 6 小时期间(包括最近生成的数据)中的更改。
- pageSize (默认值 = 50,000) :响应结果数。
- $top:要返回的结果数 (不返回 @odata.nextLink ,因此不会拉取所有数据) 。
3.5 属性
返回的每个记录都包含设备 API 的完整导出软件漏洞评估中的所有数据,以及另外两个字段: EventTimestamp 和 Status。
- 响应中可能会返回其他一些列。 这些列是临时的,可能会删除,因此仅使用记录的列。
- 下表中定义的属性按属性 ID 按字母顺序列出。 运行此 API 时,生成的输出不一定按此表中列出的相同顺序返回。
| 属性 (ID) | 数据类型 | 说明 | 返回值的示例 |
|---|---|---|---|
| CveId | String | 分配给“常见漏洞和披露”下安全漏洞的唯一标识符 (CVE) 系统。 | CVE-2020-15992 |
| CvssScore | 双精度 | CVE 的 CVSS 分数。 | 6.2 |
| DeviceId | String | 服务中设备的唯一标识符。 | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | String | 设备的 FQDN) (完全限定的域名。 | johnlaptop.europe.contoso.com |
| DiskPaths | Array[string] | 磁盘证明产品已安装在设备上。 | [“C:\Program Files (x86) \Microsoft\Silverlight\Application\silverlight.exe”] |
| EventTimestamp | String | 发现此增量事件的时间。 | 2020-11-03 10:13:34.8476880 |
| ExploitabilityLevel | String | 此漏洞的可利用级别 (NoExploit、ExploitIsPublic、ExploitIsVerified、ExploitIsInKit) | ExploitIsInKit |
| IsOnboarded | 布尔值 | 指示设备是否已载入。 | 可能的值为 true 或 false。 |
| FirstSeenTimestamp | String | 首次在设备上看到此产品的 CVE。 | 2020-11-03 10:13:34.8476880 |
| ID | String | 记录的唯一标识符。 | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | String | 上次在设备上报告软件的时间。 | 2020-11-03 10:13:34.8476880 |
| OSPlatform | String | 设备上运行的作系统的平台;同一系列中具有变体的特定作系统,例如Windows 10和Windows 11。 有关详细信息,请参阅Microsoft Defender 漏洞管理支持的作系统和平台。 | Windows10 和 Windows 11 |
| RbacGroupName | String | 基于角色的访问控制 (RBAC) 组。 如果此设备未分配给任何 RBAC 组,则值为“未分配”。 | 服务器 |
| RecommendationReference | string | 对与此软件相关的建议 ID 的引用。 | va--microsoft--silverlight |
| RecommendedSecurityUpdate | String | 软件供应商为解决漏洞而提供的安全更新的名称或说明。 | 2020 年 4 月安全汇报 |
| RecommendedSecurityUpdateId | String | 适用安全更新的标识符或相应指南或知识库 (知识库文章的标识符) | 4550961 |
| RegistryPaths | Array[string] | 注册表证明产品已安装在设备中。 | [“HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome”] |
| SoftwareName | String | 软件产品的名称。 | Chrome |
| SoftwareVendor | String | 软件供应商的名称。 | |
| SoftwareVersion | String | 软件产品的版本号。 | 81.0.4044.138 |
| 状态 | String | ) (1 设备上引入的新漏洞的新 () 修复了 ((如果设备上不再存在此漏洞),这意味着) 修复了该漏洞。 (2) 更新 ((如果设备上的漏洞发生更改)。可能的更改包括:CVSS 分数、可利用性级别、严重级别、DiskPaths、RegistryPaths、RecommendedSecurityUpdate) 。 | Fixed |
| VulnerabilitySeverityLevel | String | 分配给安全漏洞且基于 CVSS 分数的严重性级别。 | 中 |
澄清
如果软件已从版本 1.0 更新到版本 2.0,并且这两个版本都向 CVE-A 公开,则会收到两个单独的事件:
- 已修复:修复了版本 1.0 上的 CVE-A。
- 新增:添加了版本 2.0 上的 CVE-A。
例如,如果特定漏洞 (,则 CVE-A) 首次出现在特定时间 (例如,1 月 10 日) 版本为 1.0 的软件,几天后,该软件已更新到版本 2.0(也公开给同一 CVE-A),则会收到以下两个单独的事件:
- 已修复:CVE-X,FirstSeenTimestamp 1 月 10 日,版本 1.0。
- 新增功能:CVE-X,FirstSeenTimestamp 1 月 10 日,版本 2.0。
3.6 示例
3.6.1 请求示例
GET https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilityChangesByMachine?pageSize=5&sinceTime=2021-05-19T18%3A35%3A49.924Z
3.6.2 响应示例
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.DeltaAssetVulnerability)",
"value": [
{
"id": "008198251234544f7dfa715e278d4cec0c16c171_chrome_87.0.4280.88__",
"deviceId": "008198251234544f7dfa715e278b4cec0c19c171",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_1c8fee370690ca24b6a0d3f34d193b0424943a8b8.DomainPII_0dc1aee0fa366d175e514bd91a9e7a5b2b07ee8e.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "87.0.4280.88",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Google Chrome"
],
"lastSeenTimestamp": "2021-01-04 00:29:42",
"firstSeenTimestamp": "2020-11-06 03:12:44",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "00e59c61234533860738ecf488eec8abf296e41e_onedrive_20.64.329.3__",
"deviceId": "00e56c91234533860738ecf488eec8abf296e41e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_82c13a8ad8cf3dbaf7bf34fada9fa3aebc124116.DomainPII_21eeb80d086e79dbfa178eadfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.64.329.3",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2127521184-1604012920-1887927527-24918864\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-11 19:49:48",
"firstSeenTimestamp": "2020-12-07 18:25:47",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "01aa8c73095bb12345918663f3f94ce322107d24_firefox_83.0.0.0_CVE-2020-26971_",
"deviceId": "01aa8c73065bb12345918693f3f94ce322107d24",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_42684eb981bea2d670027e7ad2caafd3f2b381a3.DomainPII_21eed80b086e76dbfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "mozilla",
"softwareName": "firefox",
"softwareVersion": "83.0.0.0",
"cveId": "CVE-2020-26971",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "193220",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Mozilla Firefox 83.0 (x86 en-US)"
],
"lastSeenTimestamp": "2021-01-05 17:04:30",
"firstSeenTimestamp": "2020-05-06 12:42:19",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-mozilla-_-firefox",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "026f0fcb12345fbd2decd1a339702131422d362e_project_16.0.13701.20000__",
"deviceId": "029f0fcb13245fbd2decd1a336702131422d392e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_a5706750acba75f15d69cd17f4a7fcd268d6422c.DomainPII_f290e982685f7e8eee168b4332e0ae5d2a069cd6.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "project",
"softwareVersion": "16.0.13701.20000",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\ProjectProRetail - en-us"
],
"lastSeenTimestamp": "2021-01-03 23:38:03",
"firstSeenTimestamp": "2019-08-01 22:56:12",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-project",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
},
{
"id": "038df381234510b357ac19d0113ef622e4e212b3_chrome_81.0.4044.138_CVE-2020-16011_",
"deviceId": "038df381234510d357ac19b0113ef922e4e212b3",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596a43a2ef2bbfa00f6a16c0cb1d108bc63e32.DomainPII_3c5fefd2e6fda2f36257359404f6c1092aa6d4b8.net",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "81.0.4044.138",
"cveId": "CVE-2020-16011",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "ADV 200002",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{C4EBFDFD-0C55-3E5F-A919-E3C54949024A}"
],
"lastSeenTimestamp": "2020-12-10 22:45:41",
"firstSeenTimestamp": "2020-07-26 02:13:43",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2020-11-03 10:13:34.8476880"
}
],
"@odata.nextLink": "https://wpatdadi-eus-stg.cloudapp.net/api/machines/SoftwareVulnerabilitiesTimeline?sincetime=2021-01-11&pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}