Číst v angličtině

Sdílet prostřednictvím


Typ prostředku upozornění

Platí pro:

Poznámka

Úplné dostupné prostředí rozhraní API pro upozornění ve všech produktech Microsoft Defenderu najdete tady: Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v programu Microsoft Defender for Endpoint pro zákazníky státní správy USA.

Tip

Pro lepší výkon můžete použít server blíže k vašemu geografickému umístění:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Metody

Metoda Návratový typ Popis
Získání upozornění Upozornění Získání jednoho objektu upozornění
Seznam upozornění Shromažďování výstrah Vypsat kolekci upozornění
Upozornění na aktualizaci Upozornění Aktualizovat konkrétní výstrahu
Upozornění na dávkovou aktualizaci Aktualizace dávky upozornění
Vytvořit upozornění Upozornění Vytvoření upozornění na základě dat událostí získaných z rozšířeného proaktivního vyhledávání
Výpis souvisejících domén Kolekce domén Seznam adres URL přidružených k upozornění
Vypsat související soubory Kolekce souborů Zobrazení seznamu entit souborů přidružených k upozornění
Výpis souvisejících IP adres Kolekce IP adres Seznam IP adres přidružených k upozornění
Získání souvisejících počítačů Počítač Počítač přidružený k upozornění
Získání souvisejících uživatelů Uživatel Uživatel přidružený k upozornění

Vlastnosti

Vlastnost Typ Popis
ID String ID upozornění.
titul String Název upozornění.
description String Popis upozornění.
alertCreationTime DateTimeOffset s možnou hodnotou null Datum a čas (v UTC) se upozornění vytvořilo.
lastEventTime DateTimeOffset s možnou hodnotou null Poslední výskyt události, která aktivovala výstrahu na stejném zařízení.
firstEventTime DateTimeOffset s možnou hodnotou null První výskyt události, která aktivovala výstrahu na daném zařízení.
lastUpdateTime DateTimeOffset s možnou hodnotou null Datum a čas (v UTC) byla výstraha naposledy aktualizována.
resolvedTime DateTimeOffset s možnou hodnotou null Datum a čas, kdy se stav výstrahy změnil na Vyřešeno.
incidentId Long s možnou hodnotou null ID incidentu výstrahy.
investigationId Long s možnou hodnotou null ID šetření související s výstrahou
investigationState Výčet s možnou hodnotou null Aktuální stav vyšetřování. Možné hodnoty jsou: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
přiřazeno String Vlastník výstrahy.
rbacGroupName String Název skupiny zařízení pro řízení přístupu na základě role.
MitreTechniques String ID techniky Mitre Enterprise.
relatedUser String Podrobnosti o uživateli souvisejícím s konkrétní výstrahou
závažnost Výčet Závažnost výstrahy. Možné hodnoty jsou: Neurčené, Informační, Nízké, Střední a Vysoké.
stav Výčet Určuje aktuální stav výstrahy. Možné hodnoty jsou: Neznámý, Nový, Probíhající a Vyřešeno.
klasifikace Výčet s možnou hodnotou null Specifikace výstrahy. Možné hodnoty jsou: TruePositive, Informational, expected activitya FalsePositive.
určení Výčet s možnou hodnotou null Určuje určení výstrahy.

Možné hodnoty určení pro každou klasifikaci jsou:

  • PravdivěMalware pozitivní: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) a Other (Jiné).
  • Informační, očekávaná aktivita:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API a Other (Jiné).
  • Falešně pozitivní:Not malicious (Čisté) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API Not enough data to validate (InsufficientData) a Other (Other).
  • kategorie String Kategorie výstrahy.
    detectionSource String Zdroj detekce.
    threatFamilyName String Rodina hrozeb.
    threatName String Název hrozby.
    id počítače String ID entity počítače , která je přidružená k upozornění.
    computerDnsName String plně kvalifikovaný název počítače.
    aadTenantId String ID Microsoft Entra.
    detectorId String ID detektoru, který aktivoval výstrahu.
    komentáře Seznam komentářů k upozorněním Objekt Alert Comment obsahuje: řetězec komentáře, řetězec createdBy a createTime date time.
    Důkaz Seznam důkazů o výstrahách Důkazy týkající se výstrahy. Podívejte se na následující příklad.

    Poznámka

    Kolem 29. srpna 2022 budou dříve podporované hodnoty určení výstrah (Apt a SecurityPersonnel) zastaralé a nebudou už dostupné prostřednictvím rozhraní API.

    Příklad odpovědi pro získání jednoho upozornění:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn

    Tip

    Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.