新しいワークフローを可能にする新しいレスポンス・アクション
の下に新しいレスポンス・アクション・エンドポイントを追加しました。 POST /response-actions/v1/execute/<name>デバイスとアイデンティティの両管理におけるリモート実行機能を拡張する。
これにより、対象となるデバイスやIDに作用する新しいワークフローを自動化することができる。
このリリースでは、API 対応レスポンス・アクションの数が 8 から 32 に増加しました。
デバイス応答アクション
以下のデバイス応答アクションが利用可能である:
- フルメモリダンプの作成- デバイスからフルメモリダンプをアップロードする
- レジストリキーまたは値を削除する- 指定した Windows レジストリキーまたは値を削除します。
- スケジュールされたタスクを削除する- 指定したWindowsスケジュールタスクを削除する
- Windowsサービスの削除- 指定したWindowsサービスを削除する
- WMI永続化オブジェクトの削除- Windows Management Instrumentation (WMI) 永続オブジェクトの削除
- 実行中のプロセスを列挙する- デバイス上で実行中のプロセスを列挙する
- WMI永続化メカニズムの列挙- イベントコンシューマ、フィルタ、バインディングを含むWMI永続化メカニズムを列挙する。
- ファイルシステム構造の一覧- パスのマッチングパターンに基づいてファイルシステムの構造を一覧表示する。
- レジストリ・キーと値のリスト- パスのマッチングパターンに基づいて、Windowsレジストリキーと値を一覧表示します。
- スケジュールされたタスクのリスト- デバイス上のすべてのWindowsスケジュールタスクを一覧表示
- amcacheファイルの取得- デバイスからアプリケーション互換性キャッシュ・ファイルを取得します。
- ウイルス対策ログの取得- セキュリティ分析のためにウイルス対策ソフトのログファイルを取得
- ブラウザのアーティファクトを取得する- デバイスからブラウザの履歴を取得
- イベントログのトレースファイルの取得- .etl イベントログトレースファイルを取得します。
- デバイスからファイルを取り出す- パスの一致パターンに基づいてデバイスからファイルを取得する
- ジャンプリストファイルの取得- AutomaticDestinationsサブフォルダおよびCustomDestinationsサブフォルダに保存されているジャンプリストを取得します。
- マスターブートレコードの取得- 指定したドライブからマスターブートレコード(MBR)を取得します。
- マスター・ファイル・テーブルの取得- 指定したドライブからマスター・ファイル・テーブル(MFT)を取得します。
- ネットワーク接続の取得- ネットワーク接続、ルーティングテーブル、インターフェイス統計、および関連するプロセス情報を取得します。
- プリフェッチファイルの取得- プログラム実行の証拠となるWindowsプリフェッチファイルを取得します。
- プロセス・メモリ・ダンプの取得- 特定のプロセスのメモリーダンプを取得する。
- RDPキャッシュファイルの取得- リモートデスクトッププロトコル(RDP)のビットマップキャッシュファイルの取得
- 最近アクセスしたファイルの取得- 最近アクセスされたファイルやフォルダに関する情報を、ユーザーのアクティビティ成果物から取得します。
- レジストリハイブファイルの取得- Windowsレジストリのハイブファイルを取得
- SRUMデータベースの取得- システム再source 使用状況モニター(SRUM)データベースを検索します。
- Windowsイベントログエントリーの取得- 指定されたフィルターに基づいてWindowsイベントログエントリーを取得します。
- Windowsイベントログファイルの取得- Windowsイベントログファイルの取得
- プロセスを終了する- 指定されたパターンにマッチするプロセスを終了する
- スレッドを終了する- スレッドを終了する
アイデンティティへの対応
Microsoft Entra では、以下の ID 応答アクションを使用できます:
- Microsoft Entraでユーザーアクセスをブロックする- Microsoft Entraエコシステム内のすべてのリソースへのアクセスをブロックします。
- Microsoft Entraセッションの終了- ユーザーの Microsoft Entra セッションを終了します。
- Microsoft Entraのパスワードをリセットする- ユーザーの Microsoft Entra パスワードをリセットします。
対応措置の結果と添付書類
レスポンス・アクションは非同期に処理されます。いったんトリガーされると、その進行状況を監視することができます。データを返すレスポンス・アクションの実際の結果(たとえば、メモリー・ダンプやその他のファイル)を取得するための新しいエンドポイントが利用可能です:
GET /response-actions/v1/responses/tasks
このエンドポイントを使用すると、完了したレスポンスアクションによって生成されたファイルや添付ファイルをダウンロードできます。アクションがいつ終了したかを判断するには、まず GET /response-actions/v1/responses.アクションが完了とマークされると、添付ファイルはタスクのエンドポイントからダウンロードできるようになります。
建設開始
API の完全なドキュメントは下記から入手できる。
https://connect.withsecure.com/api-reference/elements/