نوع مورد التنبيه

ينطبق على:

ملاحظة

للحصول على تجربة واجهة برمجة تطبيقات التنبيهات الكاملة المتوفرة عبر جميع منتجات Microsoft Defenders، تفضل بزيارة: استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn.

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

ملاحظة

إذا كنت أحد عملاء حكومة الولايات المتحدة، فالرجاء استخدام معرفات URI المدرجة في Microsoft Defender لنقطة النهاية لعملاء حكومة الولايات المتحدة.

تلميح

للحصول على أداء أفضل، يمكنك استخدام الخادم الأقرب إلى موقعك الجغرافي:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

أساليب

أسلوب نوع المرجع الوصف
الحصول على تنبيه تنبيه الحصول على عنصر تنبيه واحد
تنبيهات القائمة مجموعة التنبيه قائمة مجموعة التنبيهات
تحديث التنبيه تنبيه تحديث تنبيه محدد
تنبيهات التحديثات الدفعية تحديث دفعة من التنبيهات
إنشاء تنبيه تنبيه إنشاء تنبيه استنادا إلى بيانات الحدث التي تم الحصول عليها من التتبع المتقدم
سرد المجالات ذات الصلة مجموعة المجالات سرد عناوين URL المقترنة بالتنبيه
سرد الملفات ذات الصلة مجموعة الملفات سرد كيانات الملفات المقترنة بالتنبيه
قائمة عناوين IP ذات الصلة مجموعة IP سرد عناوين IP المقترنة بالتنبيه
الحصول على الأجهزة ذات الصلة الجهاز الجهاز المقترن بالتنبيه
الحصول على المستخدمين المرتبطين User المستخدم المقترن بالتنبيه

الخصائص

مال نوع الوصف
المعرّف سلسلة معرف التنبيه.
عنوان سلسلة عنوان التنبيه.
وصف سلسلة وصف التنبيه.
alertCreationTime DateTimeOffset قابل للإلغاء تاريخ ووقت (بالتوقيت العالمي المتفق عليه) الذي تم فيه إنشاء التنبيه.
lastEventTime DateTimeOffset قابل للإلغاء آخر تكرار للحدث الذي قام بتشغيل التنبيه على نفس الجهاز.
firstEventTime DateTimeOffset قابل للإلغاء أول تكرار للحدث الذي قام بتشغيل التنبيه على هذا الجهاز.
lastUpdateTime DateTimeOffset قابل للإلغاء تاريخ ووقت آخر تحديث للتنبيه (بالتوقيت العالمي المتفق عليه).
وقت الحل DateTimeOffset قابل للإلغاء التاريخ والوقت الذي تم فيه تغيير حالة التنبيه إلى تم الحل.
معرف الحدث قيمة خالية طويلة معرف الحادث للتنبيه.
معرف التحقيق قيمة خالية طويلة معرف التحقيق المتعلق بالتنبيه.
حالة التحقيق قائمة تعداد قابلة للقيمة الخالية الحالة الحالية للتحقيق. القيم المحتملة هي: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
معين إلى سلسلة مالك التنبيه.
rbacGroupName سلسلة اسم مجموعة أجهزة التحكم في الوصول المستندة إلى الدور.
mitreTechniques سلسلة معرف تقنية Mitre Enterprise.
مستخدم ذو صلة سلسلة تفاصيل المستخدم المتعلقة بتنبيه معين.
شده قائمة تعداد خطورة التنبيه. القيم المحتملة هي: غير محددةومعلوماتيةومنخفضةومتوسطةوعالية.
حالة قائمة تعداد يحدد الحالة الحالية للتنبيه. القيم المحتملة هي: غير معروف، جديد، InProgress و Resolved.
تصنيف قائمة تعداد قابلة للقيمة الخالية مواصفات التنبيه. القيم المحتملة هي: TruePositiveو Informational, expected activityو.FalsePositive
عزم قائمة تعداد قابلة للقيمة الخالية يحدد تحديد التنبيه.

قيم التحديد المحتملة لكل تصنيف هي:

  • إيجابي حقيقي: Multistage attack (MultiStagedAttack)، Malicious user activity (MaliciousUserActivity)، Compromised account (CompromisedUser) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، Malware (البرامج الضارة)، (التصيد الاحتيالي)، PhishingUnwanted software (البرامج غير المرغوب فيها)، و Other (غير ذلك).
  • نشاط إعلامي متوقع:Security test (SecurityTesting)، Line-of-business application (LineOfBusinessApplication)، Confirmed activity (ConfirmedUserActivity) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، و Other (أخرى).
  • إيجابية خاطئة:Not malicious (تنظيف) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، Not enough data to validate (بيانات غير كافية)، و Other (غير ذلك).
  • باب سلسلة فئة التنبيه.
    مصدر الكشف سلسلة مصدر الكشف.
    threatFamilyName سلسلة عائلة التهديد.
    اسم التهديد سلسلة اسم التهديد.
    معرف الجهاز سلسلة معرف كيان جهاز مقترن بالتنبيه.
    computerDnsName سلسلة اسم الجهاز المؤهل بالكامل.
    معرف aadTenantId سلسلة معرف Microsoft Entra.
    معرف الكاشف سلسلة معرف الكاشف الذي قام بتشغيل التنبيه.
    التعليقات قائمة تعليقات التنبيه يحتوي عنصر تعليق التنبيه على: سلسلة التعليق، وسلسلة createBy، ووقت تاريخ createTime.
    دليل قائمة أدلة التنبيه الأدلة المتعلقة بالتنبيه. راجع المثال التالي.

    ملاحظة

    في حوالي 29 أغسطس 2022، سيتم إهمال قيم تحديد التنبيه المدعومة سابقا (AptوSecurityPersonnel) ولن تكون متاحة عبر واجهة برمجة التطبيقات.

    مثال على الاستجابة للحصول على تنبيه واحد:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn

    تلميح

    هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.