إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
للحصول على تجربة واجهة برمجة تطبيقات التنبيهات الكاملة المتوفرة عبر جميع منتجات Microsoft Defenders، تفضل بزيارة: استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn.
الخصائص
| مال | نوع | الوصف |
|---|---|---|
| المعرّف | سلسلة | معرف التنبيه. |
| عنوان | سلسلة | عنوان التنبيه. |
| وصف | سلسلة | وصف التنبيه. |
| alertCreationTime | DateTimeOffset قابل للإلغاء | تاريخ ووقت (بالتوقيت العالمي المتفق عليه) الذي تم فيه إنشاء التنبيه. |
| lastEventTime | DateTimeOffset قابل للإلغاء | آخر تكرار للحدث الذي قام بتشغيل التنبيه على نفس الجهاز. |
| firstEventTime | DateTimeOffset قابل للإلغاء | أول تكرار للحدث الذي قام بتشغيل التنبيه على هذا الجهاز. |
| lastUpdateTime | DateTimeOffset قابل للإلغاء | تاريخ ووقت آخر تحديث للتنبيه (بالتوقيت العالمي المتفق عليه). |
| وقت الحل | DateTimeOffset قابل للإلغاء | التاريخ والوقت الذي تم فيه تغيير حالة التنبيه إلى تم الحل. |
| معرف الحدث | قيمة خالية طويلة | معرف الحادث للتنبيه. |
| معرف التحقيق | قيمة خالية طويلة | معرف التحقيق المتعلق بالتنبيه. |
| حالة التحقيق | قائمة تعداد قابلة للقيمة الخالية | الحالة الحالية للتحقيق. القيم المحتملة هي: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| معين إلى | سلسلة | مالك التنبيه. |
| rbacGroupName | سلسلة | اسم مجموعة أجهزة التحكم في الوصول المستندة إلى الدور. |
| mitreTechniques | سلسلة | معرف تقنية Mitre Enterprise. |
| مستخدم ذو صلة | سلسلة | تفاصيل المستخدم المتعلقة بتنبيه معين. |
| شده | قائمة تعداد | خطورة التنبيه. القيم المحتملة هي: غير محددةومعلوماتيةومنخفضةومتوسطةوعالية. |
| حالة | قائمة تعداد | يحدد الحالة الحالية للتنبيه. القيم المحتملة هي: غير معروف، جديد، InProgress و Resolved. |
| تصنيف | قائمة تعداد قابلة للقيمة الخالية | مواصفات التنبيه. القيم المحتملة هي: TruePositiveو Informational, expected activityو.FalsePositive |
| عزم | قائمة تعداد قابلة للقيمة الخالية | يحدد تحديد التنبيه. قيم التحديد المحتملة لكل تصنيف هي: Multistage attack (MultiStagedAttack)، Malicious user activity (MaliciousUserActivity)، Compromised account (CompromisedUser) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، Malware (البرامج الضارة)، (التصيد الاحتيالي)، PhishingUnwanted software (البرامج غير المرغوب فيها)، و Other (غير ذلك). Security test (SecurityTesting)، Line-of-business application (LineOfBusinessApplication)، Confirmed activity (ConfirmedUserActivity) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، و Other (أخرى). Not malicious (تنظيف) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، Not enough data to validate (بيانات غير كافية)، و Other (غير ذلك). |
| باب | سلسلة | فئة التنبيه. |
| مصدر الكشف | سلسلة | مصدر الكشف. |
| threatFamilyName | سلسلة | عائلة التهديد. |
| اسم التهديد | سلسلة | اسم التهديد. |
| معرف الجهاز | سلسلة | معرف كيان جهاز مقترن بالتنبيه. |
| computerDnsName | سلسلة | اسم الجهاز المؤهل بالكامل. |
| معرف aadTenantId | سلسلة | Microsoft Entra ID. |
| معرف الكاشف | سلسلة | معرف الكاشف الذي قام بتشغيل التنبيه. |
| التعليقات | قائمة تعليقات التنبيه | يحتوي عنصر تعليق التنبيه على: سلسلة التعليق، وسلسلة createBy، ووقت تاريخ createTime. |
| دليل | قائمة أدلة التنبيه | الأدلة المتعلقة بالتنبيه. راجع المثال التالي. |
ملاحظة
في حوالي 29 أغسطس 2022، سيتم إهمال قيم تحديد التنبيه المدعومة سابقا (AptوSecurityPersonnel) ولن تكون متاحة عبر واجهة برمجة التطبيقات.
مثال على الاستجابة للحصول على تنبيه واحد:
GET https://api.security.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}