Beskedressourcetype
Gælder for:
Bemærk
Hvis du vil have den fulde tilgængelige Alerts API-oplevelse på tværs af alle Microsoft Defenders's produkter, skal du gå til: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Bemærk
Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for US Government-kunder.
Tip
For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Metode | Returtype | Beskrivelse |
---|---|---|
Få besked | Besked | Hent et enkelt beskedobjekt |
Angiv beskeder | Indsamling af beskeder | Indsamling af listebeskeder |
Opdater besked | Besked | Opdater en bestemt besked |
Beskeder om batchopdatering | Opdater en batch af beskeder | |
Opret besked | Besked | Opret en besked baseret på hændelsesdata, der er hentet fra Advanced Hunting |
Vis relaterede domæner | Domænesamling | Vis DE URL-adresser, der er knyttet til beskeden |
Vis relaterede filer | Filsamling | Vis de filobjekter , der er knyttet til beskeden |
Vis relaterede IP-adresser | IP-samling | Vis IP-adresser, der er knyttet til beskeden |
Hent relaterede maskiner | Maskine | Den computer , der er knyttet til beskeden |
Hent relaterede brugere | Bruger | Den bruger , der er knyttet til beskeden |
Egenskab | Type | Beskrivelse |
---|---|---|
ID | String | Besked-id. |
titel | String | Beskedtitel. |
beskrivelse | String | Beskrivelse af besked. |
alertCreationTime | DateTimeOffset, der kan være null | Den dato og det klokkeslæt (i UTC), hvor beskeden blev oprettet. |
lastEventTime | DateTimeOffset, der kan være null | Den sidste forekomst af hændelsen, der udløste beskeden på den samme enhed. |
firstEventTime | DateTimeOffset, der kan være null | Den første forekomst af hændelsen, der udløste beskeden på den pågældende enhed. |
lastUpdateTime | DateTimeOffset, der kan være null | Den dato og det klokkeslæt (i UTC), hvor beskeden sidst blev opdateret. |
resolvedTime | DateTimeOffset, der kan være null | Den dato og det klokkeslæt, hvor status for beskeden blev ændret til Løst. |
incidentId | Lang, der kan være null | Hændelses-id'et for beskeden. |
investigationId | Lang, der kan være null | Undersøgelses-id'et relateret til beskeden. |
investigationState | Enum, der kan være null | Undersøgelsens aktuelle tilstand. Mulige værdier er: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
tildelt til | String | Ejer af beskeden. |
rbacGroupName | String | Navn på rollebaseret adgangskontrolenhedsgruppe. |
mitreTechniques | String | Mitre Enterprise-teknik-id. |
relatedUser | String | Oplysninger om bruger, der er relateret til en bestemt besked. |
alvorlighed | Optæller | Alvorsgraden af beskeden. Mulige værdier er: UnSpecified, Informational, Low, Medium og High. |
status | Optæller | Angiver den aktuelle status for beskeden. Mulige værdier er: Ukendt, Ny, InProgress og Løst. |
klassifikation | Enum, der kan være null | Angivelse af beskeden. De mulige værdier er: TruePositive , Informational, expected activity og FalsePositive . |
bestemmelse | Enum, der kan være null | Angiver bestemmelsen af beskeden. De mulige bestemmelsesværdier for hver klassificering er: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Malware Malware), Phishing (Phishing), Unwanted software (Uønsket software) og Other (Andet). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication) Confirmed activity (ConfirmedUserActivity) – overvej at ændre optællingsnavnet i den offentlige API tilsvarende og Other (Andet). Not malicious (Clean) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed Not enough data to validate (InsufficientData) og Other (Other). |
kategori | String | Kategorien for beskeden. |
detectionSource | String | Registreringskilde. |
threatFamilyName | String | Trusselsfamilie. |
threatName | String | Trusselsnavn. |
machineId | String | Id for en computerenhed , der er knyttet til beskeden. |
computerDnsName | String | computer fuldt kvalificeret navn. |
aadTenantId | String | The Microsoft Entra ID. |
detectorId | String | Id'et for den detektor, der udløste beskeden. |
kommentarer | Liste over kommentarer til beskeder | Objektet Alert Comment indeholder: kommentarstreng, createdBy-streng og createTime-dato/klokkeslæt. |
Bevis | Liste over vigtige beskeder | Beviser relateret til beskeden. Se følgende eksempel. |
Bemærk
Omkring den 29. august 2022 frarådes tidligere understøttede værdier for bestemmelse af beskeder (Apt og SecurityPersonnel) og er ikke længere tilgængelige via API'en.
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.