Læs på engelsk

Del via


Beskedressourcetype

Gælder for:

Bemærk

Hvis du vil have den fulde tilgængelige Alerts API-oplevelse på tværs af alle Microsoft Defenders's produkter, skal du gå til: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Bemærk

Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for US Government-kunder.

Tip

For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Metoder

Metode Returtype Beskrivelse
Få besked Besked Hent et enkelt beskedobjekt
Angiv beskeder Indsamling af beskeder Indsamling af listebeskeder
Opdater besked Besked Opdater en bestemt besked
Beskeder om batchopdatering Opdater en batch af beskeder
Opret besked Besked Opret en besked baseret på hændelsesdata, der er hentet fra Advanced Hunting
Vis relaterede domæner Domænesamling Vis DE URL-adresser, der er knyttet til beskeden
Vis relaterede filer Filsamling Vis de filobjekter , der er knyttet til beskeden
Vis relaterede IP-adresser IP-samling Vis IP-adresser, der er knyttet til beskeden
Hent relaterede maskiner Maskine Den computer , der er knyttet til beskeden
Hent relaterede brugere Bruger Den bruger , der er knyttet til beskeden

Egenskaber

Egenskab Type Beskrivelse
ID String Besked-id.
titel String Beskedtitel.
beskrivelse String Beskrivelse af besked.
alertCreationTime DateTimeOffset, der kan være null Den dato og det klokkeslæt (i UTC), hvor beskeden blev oprettet.
lastEventTime DateTimeOffset, der kan være null Den sidste forekomst af hændelsen, der udløste beskeden på den samme enhed.
firstEventTime DateTimeOffset, der kan være null Den første forekomst af hændelsen, der udløste beskeden på den pågældende enhed.
lastUpdateTime DateTimeOffset, der kan være null Den dato og det klokkeslæt (i UTC), hvor beskeden sidst blev opdateret.
resolvedTime DateTimeOffset, der kan være null Den dato og det klokkeslæt, hvor status for beskeden blev ændret til Løst.
incidentId Lang, der kan være null Hændelses-id'et for beskeden.
investigationId Lang, der kan være null Undersøgelses-id'et relateret til beskeden.
investigationState Enum, der kan være null Undersøgelsens aktuelle tilstand. Mulige værdier er: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
tildelt til String Ejer af beskeden.
rbacGroupName String Navn på rollebaseret adgangskontrolenhedsgruppe.
mitreTechniques String Mitre Enterprise-teknik-id.
relatedUser String Oplysninger om bruger, der er relateret til en bestemt besked.
alvorlighed Optæller Alvorsgraden af beskeden. Mulige værdier er: UnSpecified, Informational, Low, Medium og High.
status Optæller Angiver den aktuelle status for beskeden. Mulige værdier er: Ukendt, Ny, InProgress og Løst.
klassifikation Enum, der kan være null Angivelse af beskeden. De mulige værdier er: TruePositive, Informational, expected activityog FalsePositive.
bestemmelse Enum, der kan være null Angiver bestemmelsen af beskeden.

De mulige bestemmelsesværdier for hver klassificering er:

  • Sand positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Malware Malware), Phishing (Phishing), Unwanted software (Uønsket software) og Other (Andet).
  • Oplysende, forventet aktivitet:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication) Confirmed activity (ConfirmedUserActivity) – overvej at ændre optællingsnavnet i den offentlige API tilsvarende og Other (Andet).
  • Falsk positiv:Not malicious (Clean) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed Not enough data to validate (InsufficientData) og Other (Other).
  • kategori String Kategorien for beskeden.
    detectionSource String Registreringskilde.
    threatFamilyName String Trusselsfamilie.
    threatName String Trusselsnavn.
    machineId String Id for en computerenhed , der er knyttet til beskeden.
    computerDnsName String computer fuldt kvalificeret navn.
    aadTenantId String The Microsoft Entra ID.
    detectorId String Id'et for den detektor, der udløste beskeden.
    kommentarer Liste over kommentarer til beskeder Objektet Alert Comment indeholder: kommentarstreng, createdBy-streng og createTime-dato/klokkeslæt.
    Bevis Liste over vigtige beskeder Beviser relateret til beskeden. Se følgende eksempel.

    Bemærk

    Omkring den 29. august 2022 frarådes tidligere understøttede værdier for bestemmelse af beskeder (Apt og SecurityPersonnel) og er ikke længere tilgængelige via API'en.

    Svareksempel for at få en enkelt besked:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn

    Tip

    Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.