Nouvelles actions de réponse pour permettre de nouveaux flux de travail
Nous avons ajouté de nouveaux points de terminaison pour les actions de réponse dans la rubrique POST /response-actions/v1/execute/<name> afin d'étendre les capacités d'exécution à distance pour la gestion des appareils et des identités.
Cela vous permet d'automatiser de nouveaux flux de travail qui impliquent d'agir sur les appareils et les identités cibles.
Cette version augmente le nombre d'actions de réponse prises en charge par API de 8 à 32.
Actions de réponse de l'appareil
Les actions suivantes sont possibles :
- Créer un vidage complet de la mémoire - Téléchargement d'un vidage complet de la mémoire de l'appareil
- Supprimer une clé ou une valeur de registre - Supprime une clé ou une valeur de registre Windows spécifiée
- Supprimer une tâche programmée - Supprime une tâche planifiée Windows spécifiée
- Supprimer un service Windows - Supprime un service Windows spécifié
- Supprimer des objets de persistance WMI - Supprime les objets de persistance de Windows Management Instrumentation (WMI)
- Enumérer les processus en cours - Enumère les processus en cours d'exécution sur l'appareil
- Énumérer les mécanismes de persistance WMI - Enumère les mécanismes de persistance WMI, y compris les consommateurs d'événements, les filtres et les liaisons.
- Liste de la structure du système de fichiers - Liste la structure du système de fichiers sur la base de modèles de correspondance de chemins d'accès.
- Liste des clés et valeurs du registre - Répertorie les clés et les valeurs du registre Windows en fonction de modèles de correspondance de chemins d'accès.
- Liste des tâches programmées - Liste de toutes les tâches planifiées de Windows sur l'appareil
- Récupérer les fichiers amcache - Récupère le fichier cache de compatibilité des applications de l'appareil.
- Récupérer les journaux antivirus - Récupère les fichiers journaux du logiciel antivirus pour l'analyse de la sécurité
- Récupérer les artefacts du navigateur - Récupère l'historique du navigateur de l'appareil
- Récupérer les fichiers de traçage du journal des événements - Récupère les fichiers de suivi du journal des événements .etl contenant les enregistrements des activités du système
- Récupérer les fichiers de l'appareil - Récupère les fichiers de l'appareil sur la base de modèles de correspondance de chemin d'accès.
- Récupérer les fichiers de la liste des sauts - Récupère les listes de sauts stockées dans les sous-dossiers AutomaticDestinations et CustomDestinations.
- Récupérer l'enregistrement d'amorçage principal - Récupère l'enregistrement d'amorçage principal (MBR) d'un lecteur spécifié.
- Récupérer le tableau du fichier principal - Récupère la table des fichiers principaux (MFT) à partir d'un lecteur spécifié.
- Récupérer les connexions réseau - Récupère les connexions réseau, les tables de routage, les statistiques d'interface et les informations relatives aux processus.
- Récupérer les fichiers de préfiguration - Récupère les fichiers Windows prefetch contenant des preuves de l'exécution du programme
- Récupérer le fichier mémoire du processus - Récupère une vidange de la mémoire d'un processus spécifique
- Récupérer les fichiers de cache RDP - Récupère les fichiers de cache bitmap du protocole de bureau à distance (RDP)
- Récupérer les fichiers récemment consultés - Récupère des informations sur les fichiers et dossiers récemment consultés à partir des artefacts de l'activité de l'utilisateur.
- Récupérer les fichiers de stockage du registre - Récupère les fichiers de stockage du registre Windows
- Récupérer la base de données SRUM - Récupère la base de données SRUM (System Resource Usage Monitor).
- Récupérer les entrées du journal des événements Windows - Récupère les entrées du journal des événements Windows en fonction des filtres spécifiés
- Récupérer les fichiers journaux des événements Windows - Récupère les fichiers journaux des événements Windows
- Terminer le processus - Met fin aux processus correspondant aux modèles spécifiés
- Terminer le fil - Termine un fil de discussion
Actions de réponse à l'identité
Les actions de réponse d'identité suivantes sont disponibles pour Microsoft Entra :
- Bloquer l'accès des utilisateurs dans Microsoft Entra - Bloque l'accès d'un utilisateur à toutes les ressources de l'écosystème Microsoft Entra.
- Fin de la session Microsoft Entra - Met fin à la session Microsoft Entra d'un utilisateur
- Réinitialiser le mot de passe de Microsoft Entra - Réinitialise le mot de passe Microsoft Entra d'un utilisateur
Résultats de l'action de réponse et pièces jointes
Les actions de réponse sont traitées de manière asynchrone : une fois déclenchées, vous pouvez suivre leur progression. Un nouveau point de terminaison est disponible pour récupérer les résultats réels des actions de réponse qui renvoient des données (par exemple, des vidages de mémoire ou d'autres fichiers) :
GET /response-actions/v1/responses/tasks
En utilisant ce point de terminaison, vous pouvez télécharger tous les fichiers ou pièces jointes produits par les actions de réponse terminées. Pour déterminer si votre action est terminée, interrogez d'abord l'état via l'option GET /response-actions/v1/responses. Lorsque l'action est marquée comme terminée, vos pièces jointes sont prêtes à être téléchargées à partir du point de terminaison des tâches.
Commencer à construire
La documentation complète de API est disponible à l'adresse suivante
https://connect.withsecure.com/api-reference/elements/