Neue Antwortaktionen, die neue Arbeitsabläufe ermöglichen
Wir haben neue Endpunkte für Antwortaktionen hinzugefügt unter POST /response-actions/v1/execute/<name> um die Möglichkeiten der Remote-Ausführung sowohl für die Geräte- als auch für die Identitätsverwaltung zu erweitern.
So können Sie neue Arbeitsabläufe automatisieren, die auf die Zielgeräte und -identitäten einwirken.
Mit dieser Version erhöht sich die Anzahl der von API unterstützten Antwortaktionen von 8 auf 32.
Antwortaktionen des Geräts
Die folgenden Geräteaktionen sind verfügbar:
- Vollständigen Speicherauszug erstellen - Lädt einen vollständigen Speicherauszug vom Gerät hoch
- Registrierungsschlüssel oder Wert löschen - Löscht einen angegebenen Windows-Registrierungsschlüssel oder -wert
- Geplante Aufgabe löschen - Löscht eine angegebene geplante Windows-Aufgabe
- Windows-Dienst löschen - Löscht einen angegebenen Windows-Dienst
- WMI-Persistenzobjekte löschen - Löscht die Persistenzobjekte der Windows Management Instrumentation (WMI)
- Laufende Prozesse aufzählen - Zählt die laufenden Prozesse auf dem Gerät auf
- Aufzählung der WMI-Persistenzmechanismen - Aufzählung der WMI-Persistenzmechanismen, einschließlich Ereignisverbraucher, Filter und Bindungen
- Dateisystemstruktur auflisten - Listet die Struktur des Dateisystems anhand von Pfadübereinstimmungsmustern auf
- Registrierungsschlüssel und Werte auflisten - Listet Windows-Registrierungsschlüssel und -werte anhand von Pfadübereinstimmungsmustern auf
- Geplante Aufgaben auflisten - Listet alle geplanten Windows-Aufgaben auf dem Gerät auf
- Abrufen von amcache-Dateien - Ruft die Cache-Datei für Anwendungskompatibilität vom Gerät ab
- Abrufen von Antiviren-Protokollen - Ruft Protokolldateien von Antiviren-Software zur Sicherheitsanalyse ab
- Abrufen von Browser-Artefakten - Ruft den Browserverlauf vom Gerät ab
- Abrufen von Ereignisprotokoll-Tracing-Dateien - Ruft .etl-Ereignisprotokolldateien mit Aufzeichnungen über Systemaktivitäten ab
- Abrufen von Dateien vom Gerät - Ruft Dateien vom Gerät auf der Grundlage von Pfadübereinstimmungsmustern ab
- Abrufen von Sprunglistendateien - Ruft Sprunglisten ab, die in den Unterordnern AutomaticDestinations und CustomDestinations gespeichert sind
- Master-Boot-Record abrufen - Ruft den Master Boot Record (MBR) von einem angegebenen Laufwerk ab
- Abrufen der Stammdatentabelle - Ruft die Master File Table (MFT) von einem angegebenen Laufwerk ab
- Abrufen von Netzwerkverbindungen - Ruft Netzwerkverbindungen, Routing-Tabellen, Schnittstellenstatistiken und zugehörige Prozessinformationen ab
- Abrufen von Prefetch-Dateien - Ruft Windows Prefetch-Dateien mit Beweisen für die Programmausführung ab
- Prozessspeicherabzug abrufen - Ruft einen Speicherauszug eines bestimmten Prozesses ab
- Abrufen von RDP-Cache-Dateien - Ruft Bitmap-Cache-Dateien des Remote-Desktop-Protokolls (RDP) ab
- Abrufen der zuletzt aufgerufenen Dateien - Abrufen von Informationen über zuletzt aufgerufene Dateien und Ordner aus den Artefakten der Benutzeraktivitäten
- Abrufen von Hive-Dateien der Registrierung - Ruft die Hive-Dateien der Windows-Registrierung ab
- Abrufen der SRUM-Datenbank - Ruft die Datenbank des Systemresource usage monitor (SRUM) ab.
- Abrufen von Windows-Ereignisprotokolleinträgen - Ruft Windows-Ereignisprotokolleinträge basierend auf angegebenen Filtern ab
- Abrufen von Windows-Ereignisprotokolldateien - Ruft Windows-Ereignisprotokolldateien ab
- Prozess beenden - Beendet Prozesse, die den angegebenen Mustern entsprechen
- Gewinde beenden - Beendet einen Thread
Identitätsbezogene Maßnahmen
Für Microsoft Entra sind die folgenden Identity Response-Aktionen verfügbar:
- Benutzerzugriff in Microsoft Entra sperren - Sperrt den Zugriff eines Benutzers auf alle Ressourcen innerhalb des Microsoft Entra-Ökosystems
- Microsoft Entra-Sitzung beenden - Beendet die Microsoft Entra-Sitzung eines Benutzers
- Microsoft Entra-Kennwort zurücksetzen - Setzt das Microsoft Entra Passwort eines Benutzers zurück
Ergebnisse der Reaktionsmaßnahmen und Anhänge
Ein neuer Endpunkt steht zur Verfügung, um die tatsächlichen Ergebnisse von Antwortaktionen abzurufen, die Daten zurückgeben (z. B. Speicherabzüge oder andere Dateien):
GET /response-actions/v1/responses/tasks
Über diesen Endpunkt können Sie alle Dateien oder Anhänge herunterladen, die durch abgeschlossene Antwortaktionen erzeugt wurden. Um festzustellen, wann Ihre Aktion abgeschlossen ist, fragen Sie zunächst den Status über GET /response-actions/v1/responses. Wenn die Aktion als abgeschlossen markiert ist, stehen Ihre Anhänge zum Herunterladen vom Aufgaben-Endpunkt bereit.
Mit dem Bau beginnen
Die vollständige Dokumentation API ist verfügbar unter
https://connect.withsecure.com/api-reference/elements/