Auf Englisch lesen

Freigeben über


Warnungs-API

Die Warnungs-API bietet Ihnen Informationen zu unmittelbaren Risiken, die von Defender for Cloud Apps identifiziert werden, die Aufmerksamkeit erfordern. Warnungen können aus verdächtigen Nutzungsmustern oder dateien mit Inhalten resultieren, die gegen die Unternehmensrichtlinie verstoßen.

Im Folgenden werden die unterstützten Anforderungen aufgeführt:

Veraltete Anforderungen

In der folgenden Tabelle sind die Als veraltet markierten Anforderungen und die Anforderungen aufgeführt, die sie ersetzen.

Veraltete Anforderung Alternative
Massen verwerfen Schließen falsch positiv
Massenauflösung Schließen sie true positive
Warnung schließen Schließen falsch positiv

Hinweis

Die veralteten Anforderungen wurden ihren Alternativen zugeordnet, um Unterbrechungen zu vermeiden. Wenn Sie jedoch veraltete Anforderungen in Ihrer Umgebung verwenden, empfehlen wir, sie auf ihre Alternativen zu aktualisieren.

Eigenschaften

Das Antwortobjekt definiert die folgenden Eigenschaften.

Eigenschaft Typ Beschreibung
_id int Warnungstypbezeichner
Zeitstempel long Zeitstempel des Zeitpunkts, an dem die Warnung ausgelöst wurde
entitäten Liste Eine Liste von Entitäten im Zusammenhang mit der Warnung
title string Der Titel der Warnung
description string Die Beschreibung der Warnung
isMarkdown bool Flag, um anzugeben, ob die Beschreibung der Warnung bereits im HTML-Code enthalten ist
statusValue int Der Status der Warnung. Mögliche Werte sind:

0: UNGELESEN
1: LESEN
2: ARCHIVIERT
severityValue int Der Schweregrad der Warnung. Mögliche Werte sind:

0: NIEDRIG
1: MITTEL
2: HOCH
3: INFORMATIONAL
resolutionStatusValue int Status der Warnung. Mögliche Werte sind:

0: ÖFFNEN
1: VERWORFEN
2: GELÖST
3: FALSE_POSITIVE
4: GUTARTIG
5: TRUE_POSITIVE
Geschichten Liste Risikokategorie. Mögliche Werte sind:

0: THREAT_DETECTION
1: PRIVILEGED_ACCOUNT_MONITORING
2: COMPLIANCE
3: DLP
4: ERMITTLUNG
5: SHARING_CONTROL
7: ACCESS_CONTROL
8: CONFIGURATION_MONITORING
Beweis Liste Liste der kurzen Beschreibungen Standard Teile der Warnung
intent Liste Ein Feld, das die absichtsbezogene Beendigungskette hinter der Warnung angibt. In diesem Feld können mehrere Werte gemeldet werden. Die Absichtsenumerationswerte folgen dem MITRE att@ck Enterprise-Matrixmodell. Weitere Anleitungen zu den verschiedenen Techniken, aus denen die einzelnen Absichten bestehen, finden Sie in der Dokumentation von MITRE.
Mögliche Werte sind:

0: UNBEKANNT
1: PREATTACK
2: INITIAL_ACCESS
3: PERSISTENZ
4: PRIVILEGE_ESCALATION
5: DEFENSE_EVASION
6: CREDENTIAL_ACCESS
7: ERMITTLUNG
8: LATERAL_MOVEMENT
9: AUSFÜHRUNG
10: SAMMLUNG
11: EXFILTRATION
12: COMMAND_AND_CONTROL
13: AUSWIRKUNG
isPreview bool Warnungen, die kürzlich als GA veröffentlicht wurden
Audits (optional) Liste Liste der Ereignis-IDs, die sich auf die Warnung beziehen
threatScore int Benutzeruntersuchungspriorität

Filter

Informationen zur Funktionsweise von Filtern finden Sie unter Filter.

In der folgenden Tabelle werden die unterstützten Filter beschrieben:

Filter Typ Operatoren Beschreibung
entity.entity entity pk eq,neq Filtern sie Warnungen im Zusammenhang mit angegebenen Entitäten. Beispiel: [{ "id": "entity-id", "inst": 0 }]
entity.ip string eq, neq Filtern von Warnungen im Zusammenhang mit angegebenen IP-Adressen
entity.service ganze Zahl eq, neq Filtern von Warnungen im Zusammenhang mit der angegebenen Dienst-AppId, z. B.: 11770
Entität. instance ganze Zahl eq, neq Filtern von Warnungen im Zusammenhang mit den angegebenen Instanzen, z. B.: 11770, 1059065
entity.policy string eq, neq Filtern von Warnungen im Zusammenhang mit den angegebenen Richtlinien
entity.file string eq, neq Filtern von Warnungen im Zusammenhang mit der angegebenen Datei
WarnungÖffnen Boolescher Wert eq Wenn auf TRUE festgelegt, werden nur geöffnete Warnungen zurückgegeben. Wenn sie auf FALSE festgelegt ist, werden nur geschlossene Warnungen zurückgegeben.
Schweregrad ganze Zahl eq, neq Filtern sie nach Schweregrad. Mögliche Werte sind:

0: Niedrig
1: Mittel
2: Hoch
resolutionStatus ganze Zahl eq, neq Filtern Sie nach Warnungsauflösung status. Mögliche Werte sind:

0: Öffnen
1: Verworfen (Legacy-status)
2: Gelöst (Legacy-status)
3: Geschlossen als falsch positiv
4: Geschlossen als gutartig
5: Geschlossen als wahr positiv
Lesen Boolescher Wert eq Wenn auf TRUE festgelegt, werden nur Lesewarnungen zurückgegeben. Wenn sie auf false festgelegt ist, werden ungelesene Warnungen zurückgegeben.
date Zeitstempel lte, gte, range, lte_ndays, gte_ndays Filtern nach dem Zeitpunkt, zu dem eine Warnung ausgelöst wurde
resolutionDate Zeitstempel lte, gte, range Filtern nach dem Zeitpunkt, zu dem eine Warnung aufgelöst wurde
Risiko ganze Zahl eq, neq Filtern nach Risiko
alertType ganze Zahl eq, neq Filtern nach Warnungstyp
ID string eq, neq Filtern nach Warnungs-IDs
source string eq Der Ursprung der Warnung, entweder integriert oder Richtlinie

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.