Nya svarsåtgärder för att möjliggöra nya arbetsflöden
Vi har lagt till nya slutpunkter för svarsåtgärder under POST /respons-aktioner/v1/utförande/<name> för att utöka möjligheterna till fjärrstyrning för både enhets- och identitetshantering.
Detta gör att du kan automatisera nya arbetsflöden som innebär att du agerar på målenheter och -identiteter.
I den här versionen utökas antalet svarsåtgärder som stöds av API från 8 till 32.
Enhetens svarsåtgärder
Följande svarsåtgärder för enheten är tillgängliga:
- Skapa en fullständig minnesdump - Laddar upp en fullständig minnesdump från enheten
- Ta bort registernyckel eller värde - Raderar en angiven nyckel eller ett värde i Windows-registret
- Ta bort schemalagd uppgift - Raderar en angiven schemalagd Windows-uppgift
- Ta bort Windows-tjänst - Raderar en angiven Windows-tjänst
- Ta bort WMI-persistensobjekt - Raderar persistensobjekt för Windows Management Instrumentation (WMI)
- Räkna upp pågående processer - Räknar upp pågående processer på enheten
- Räkna upp WMI-persistensmekanismer - Räknar upp WMI-persistensmekanismer, inklusive händelsekonsumenter, filter och bindningar
- Lista filsystemets struktur - Visar filsystemets struktur baserat på mönster för sökvägsmatchning
- Lista registernycklar och -värden - Listar nycklar och värden i Windows-registret baserat på mönster för sökvägsmatchning
- Lista schemalagda uppgifter - Visar en lista över alla schemalagda Windows-uppgifter på enheten
- Hämta amcache-filer - Hämtar cachefilen för applikationskompatibilitet från enheten
- Hämta antivirusloggar - Hämtar loggfiler för antivirusprogram för säkerhetsanalys
- Hämta artefakter från webbläsaren - Hämtar webbläsarhistoriken från enheten
- Hämta spårningsfiler för händelseloggar - Hämtar .etl-händelseloggspårningsfiler med uppgifter om systemaktiviteter
- Hämta filer från enheten - Hämtar filer från enheten baserat på mönster för sökvägsmatchning
- Hämta filer med hopplistor - Hämtar hopplistor som lagrats i undermapparna AutomaticDestinations och CustomDestinations
- Hämta master boot record - Hämtar MBR (Master Boot Record) från en angiven enhet
- Hämta master file-tabell - Hämtar master file table (MFT) från en angiven enhet
- Hämta nätverksanslutningar - Hämtar nätverksanslutningar, routingtabeller, gränssnittsstatistik och relaterad processinformation
- Hämta prefetch-filer - Hämtar Windows prefetch-filer med bevis på programkörning
- Hämta processminnesdump - Hämtar en minnesdump av en specifik process
- Hämta RDP-cachefiler - Hämtar RDP-cachefiler för bitmappar (Remote Desktop Protocol)
- Hämta nyligen öppnade filer - Hämtar information om nyligen öppnade filer och mappar från artefakter för användaraktivitet
- Hämta hive-filer i registret - Hämtar hive-filer från Windows-registret
- Hämta SRUM-databas - Hämtar databasen SRUM (System Resource Usage Monitor)
- Hämta poster i Windows händelselogg - Hämtar poster i Windows händelselogg baserat på angivna filter
- Hämta Windows-händelseloggfiler - Hämtar Windows-händelseloggfiler
- Avsluta processen - Avslutar processer som matchar de angivna mönstren
- Avsluta gänga - Avslutar en tråd
Åtgärder för identitetshantering
Följande identitetssvarsåtgärder är tillgängliga för Microsoft Entra:
- Blockera användaråtkomst i Microsoft Entra - Blockerar åtkomst för en användare till alla resurser inom Microsoft Entra-ekosystemet
- Avsluta Microsoft Entra-sessionen - Avslutar Microsoft Entra-sessionen för en användare
- Återställ lösenord för Microsoft Entra - Återställer Microsoft Entra-lösenordet för en användare
Resultat av svarsåtgärder och bilagor
Svarsåtgärder behandlas asynkront: när de väl har utlösts kan du övervaka hur de fortskrider. En ny endpoint är tillgänglig för att hämta de faktiska resultaten av svarsåtgärder som returnerar data (t.ex. minnesdumpar eller andra filer):
GET /respons-aktioner/v1/responser/uppgifter
Genom att använda den här slutpunkten kan du hämta filer eller bilagor som producerats av slutförda svarsåtgärder. För att avgöra när din åtgärd har slutförts, polla först statusen via GET /respons-aktioner/v1/svar. När åtgärden markeras som slutförd är dina bilagor redo att laddas ned från slutpunkten för uppgifter.
Börja bygga
Fullständig dokumentation för API finns tillgänglig på
https://connect.withsecure.com/api-reference/elements/