نوع مورد التنبيه
ينطبق على:
ملاحظة
للحصول على تجربة واجهة برمجة تطبيقات التنبيهات الكاملة المتوفرة عبر جميع منتجات Microsoft Defenders، تفضل بزيارة: استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn.
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
ملاحظة
إذا كنت أحد عملاء حكومة الولايات المتحدة، فالرجاء استخدام معرفات URI المدرجة في Microsoft Defender لنقطة النهاية لعملاء حكومة الولايات المتحدة.
تلميح
للحصول على أداء أفضل، يمكنك استخدام الخادم الأقرب إلى موقعك الجغرافي:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
أساليب
| أسلوب | نوع المرجع | الوصف |
|---|---|---|
| الحصول على تنبيه | تنبيه | الحصول على عنصر تنبيه واحد |
| تنبيهات القائمة | مجموعة التنبيه | قائمة مجموعة التنبيهات |
| تحديث التنبيه | تنبيه | تحديث تنبيه محدد |
| تنبيهات التحديثات الدفعية | تحديث دفعة من التنبيهات | |
| إنشاء تنبيه | تنبيه | إنشاء تنبيه استنادا إلى بيانات الحدث التي تم الحصول عليها من التتبع المتقدم |
| سرد المجالات ذات الصلة | مجموعة المجالات | سرد عناوين URL المقترنة بالتنبيه |
| سرد الملفات ذات الصلة | مجموعة الملفات | سرد كيانات الملفات المقترنة بالتنبيه |
| قائمة عناوين IP ذات الصلة | مجموعة IP | سرد عناوين IP المقترنة بالتنبيه |
| الحصول على الأجهزة ذات الصلة | الجهاز | الجهاز المقترن بالتنبيه |
| الحصول على المستخدمين المرتبطين | User | المستخدم المقترن بالتنبيه |
الخصائص
| مال | نوع | الوصف |
|---|---|---|
| المعرّف | سلسلة | معرف التنبيه. |
| عنوان | سلسلة | عنوان التنبيه. |
| وصف | سلسلة | وصف التنبيه. |
| alertCreationTime | DateTimeOffset قابل للإلغاء | تاريخ ووقت (بالتوقيت العالمي المتفق عليه) الذي تم فيه إنشاء التنبيه. |
| lastEventTime | DateTimeOffset قابل للإلغاء | آخر تكرار للحدث الذي قام بتشغيل التنبيه على نفس الجهاز. |
| firstEventTime | DateTimeOffset قابل للإلغاء | أول تكرار للحدث الذي قام بتشغيل التنبيه على هذا الجهاز. |
| lastUpdateTime | DateTimeOffset قابل للإلغاء | تاريخ ووقت آخر تحديث للتنبيه (بالتوقيت العالمي المتفق عليه). |
| وقت الحل | DateTimeOffset قابل للإلغاء | التاريخ والوقت الذي تم فيه تغيير حالة التنبيه إلى تم الحل. |
| معرف الحدث | قيمة خالية طويلة | معرف الحادث للتنبيه. |
| معرف التحقيق | قيمة خالية طويلة | معرف التحقيق المتعلق بالتنبيه. |
| حالة التحقيق | قائمة تعداد قابلة للقيمة الخالية | الحالة الحالية للتحقيق. القيم المحتملة هي: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| معين إلى | سلسلة | مالك التنبيه. |
| rbacGroupName | سلسلة | اسم مجموعة أجهزة التحكم في الوصول المستندة إلى الدور. |
| mitreTechniques | سلسلة | معرف تقنية Mitre Enterprise. |
| مستخدم ذو صلة | سلسلة | تفاصيل المستخدم المتعلقة بتنبيه معين. |
| شده | قائمة تعداد | خطورة التنبيه. القيم المحتملة هي: غير محددةومعلوماتيةومنخفضةومتوسطةوعالية. |
| حالة | قائمة تعداد | يحدد الحالة الحالية للتنبيه. القيم المحتملة هي: غير معروف، جديد، InProgress و Resolved. |
| تصنيف | قائمة تعداد قابلة للقيمة الخالية | مواصفات التنبيه. القيم المحتملة هي: TruePositiveو Informational, expected activityو.FalsePositive |
| عزم | قائمة تعداد قابلة للقيمة الخالية | يحدد تحديد التنبيه. قيم التحديد المحتملة لكل تصنيف هي: Multistage attack (MultiStagedAttack)، Malicious user activity (MaliciousUserActivity)، Compromised account (CompromisedUser) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، Malware (البرامج الضارة)، (التصيد الاحتيالي)، PhishingUnwanted software (البرامج غير المرغوب فيها)، و Other (غير ذلك). Security test (SecurityTesting)، Line-of-business application (LineOfBusinessApplication)، Confirmed activity (ConfirmedUserActivity) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، و Other (أخرى). Not malicious (تنظيف) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، Not enough data to validate (بيانات غير كافية)، و Other (غير ذلك). |
| باب | سلسلة | فئة التنبيه. |
| مصدر الكشف | سلسلة | مصدر الكشف. |
| threatFamilyName | سلسلة | عائلة التهديد. |
| اسم التهديد | سلسلة | اسم التهديد. |
| معرف الجهاز | سلسلة | معرف كيان جهاز مقترن بالتنبيه. |
| computerDnsName | سلسلة | اسم الجهاز المؤهل بالكامل. |
| معرف aadTenantId | سلسلة | معرف Microsoft Entra. |
| معرف الكاشف | سلسلة | معرف الكاشف الذي قام بتشغيل التنبيه. |
| التعليقات | قائمة تعليقات التنبيه | يحتوي عنصر تعليق التنبيه على: سلسلة التعليق، وسلسلة createBy، ووقت تاريخ createTime. |
| دليل | قائمة أدلة التنبيه | الأدلة المتعلقة بالتنبيه. راجع المثال التالي. |
ملاحظة
في حوالي 29 أغسطس 2022، سيتم إهمال قيم تحديد التنبيه المدعومة سابقا (AptوSecurityPersonnel) ولن تكون متاحة عبر واجهة برمجة التطبيقات.
مثال على الاستجابة للحصول على تنبيه واحد:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
المقالات ذات الصلة
استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn
تلميح
هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.