Warnungs-API
Die Warnungs-API bietet Ihnen Informationen zu unmittelbaren Risiken, die von Defender for Cloud Apps identifiziert werden, die Aufmerksamkeit erfordern. Warnungen können aus verdächtigen Nutzungsmustern oder dateien mit Inhalten resultieren, die gegen die Unternehmensrichtlinie verstoßen.
Im Folgenden werden die unterstützten Anforderungen aufgeführt:
- Warnungen auflisten
- Schließen gutartig
- Schließen falsch positiv
- Schließen sie true positive
- Abrufen einer Warnung
- Warnung als gelesen markieren
- Warnung als ungelesen markieren
In der folgenden Tabelle sind die Als veraltet markierten Anforderungen und die Anforderungen aufgeführt, die sie ersetzen.
Veraltete Anforderung | Alternative |
---|---|
Massen verwerfen | Schließen falsch positiv |
Massenauflösung | Schließen sie true positive |
Warnung schließen | Schließen falsch positiv |
Hinweis
Die veralteten Anforderungen wurden ihren Alternativen zugeordnet, um Unterbrechungen zu vermeiden. Wenn Sie jedoch veraltete Anforderungen in Ihrer Umgebung verwenden, empfehlen wir, sie auf ihre Alternativen zu aktualisieren.
Das Antwortobjekt definiert die folgenden Eigenschaften.
Eigenschaft | Typ | Beschreibung |
---|---|---|
_id | int | Warnungstypbezeichner |
Zeitstempel | long | Zeitstempel des Zeitpunkts, an dem die Warnung ausgelöst wurde |
entitäten | Liste | Eine Liste von Entitäten im Zusammenhang mit der Warnung |
title | string | Der Titel der Warnung |
description | string | Die Beschreibung der Warnung |
isMarkdown | bool | Flag, um anzugeben, ob die Beschreibung der Warnung bereits im HTML-Code enthalten ist |
statusValue | int | Der Status der Warnung. Mögliche Werte sind: 0: UNGELESEN 1: LESEN 2: ARCHIVIERT |
severityValue | int | Der Schweregrad der Warnung. Mögliche Werte sind: 0: NIEDRIG 1: MITTEL 2: HOCH 3: INFORMATIONAL |
resolutionStatusValue | int | Status der Warnung. Mögliche Werte sind: 0: ÖFFNEN 1: VERWORFEN 2: GELÖST 3: FALSE_POSITIVE 4: GUTARTIG 5: TRUE_POSITIVE |
Geschichten | Liste | Risikokategorie. Mögliche Werte sind: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: COMPLIANCE 3: DLP 4: ERMITTLUNG 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
Beweis | Liste | Liste der kurzen Beschreibungen Standard Teile der Warnung |
intent | Liste | Ein Feld, das die absichtsbezogene Beendigungskette hinter der Warnung angibt. In diesem Feld können mehrere Werte gemeldet werden. Die Absichtsenumerationswerte folgen dem MITRE att@ck Enterprise-Matrixmodell. Weitere Anleitungen zu den verschiedenen Techniken, aus denen die einzelnen Absichten bestehen, finden Sie in der Dokumentation von MITRE. Mögliche Werte sind: 0: UNBEKANNT 1: PREATTACK 2: INITIAL_ACCESS 3: PERSISTENZ 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: ERMITTLUNG 8: LATERAL_MOVEMENT 9: AUSFÜHRUNG 10: SAMMLUNG 11: EXFILTRATION 12: COMMAND_AND_CONTROL 13: AUSWIRKUNG |
isPreview | bool | Warnungen, die kürzlich als GA veröffentlicht wurden |
Audits (optional) | Liste | Liste der Ereignis-IDs, die sich auf die Warnung beziehen |
threatScore | int | Benutzeruntersuchungspriorität |
Informationen zur Funktionsweise von Filtern finden Sie unter Filter.
In der folgenden Tabelle werden die unterstützten Filter beschrieben:
Filter | Typ | Operatoren | Beschreibung |
---|---|---|---|
entity.entity | entity pk | eq,neq | Filtern sie Warnungen im Zusammenhang mit angegebenen Entitäten. Beispiel: [{ "id": "entity-id", "inst": 0 }] |
entity.ip | string | eq, neq | Filtern von Warnungen im Zusammenhang mit angegebenen IP-Adressen |
entity.service | ganze Zahl | eq, neq | Filtern von Warnungen im Zusammenhang mit der angegebenen Dienst-AppId, z. B.: 11770 |
Entität. instance | ganze Zahl | eq, neq | Filtern von Warnungen im Zusammenhang mit den angegebenen Instanzen, z. B.: 11770, 1059065 |
entity.policy | string | eq, neq | Filtern von Warnungen im Zusammenhang mit den angegebenen Richtlinien |
entity.file | string | eq, neq | Filtern von Warnungen im Zusammenhang mit der angegebenen Datei |
WarnungÖffnen | Boolescher Wert | eq | Wenn auf TRUE festgelegt, werden nur geöffnete Warnungen zurückgegeben. Wenn sie auf FALSE festgelegt ist, werden nur geschlossene Warnungen zurückgegeben. |
Schweregrad | ganze Zahl | eq, neq | Filtern sie nach Schweregrad. Mögliche Werte sind: 0: Niedrig 1: Mittel 2: Hoch |
resolutionStatus | ganze Zahl | eq, neq | Filtern Sie nach Warnungsauflösung status. Mögliche Werte sind: 0: Öffnen 1: Verworfen (Legacy-status) 2: Gelöst (Legacy-status) 3: Geschlossen als falsch positiv 4: Geschlossen als gutartig 5: Geschlossen als wahr positiv |
Lesen | Boolescher Wert | eq | Wenn auf TRUE festgelegt, werden nur Lesewarnungen zurückgegeben. Wenn sie auf false festgelegt ist, werden ungelesene Warnungen zurückgegeben. |
date | Zeitstempel | lte, gte, range, lte_ndays, gte_ndays | Filtern nach dem Zeitpunkt, zu dem eine Warnung ausgelöst wurde |
resolutionDate | Zeitstempel | lte, gte, range | Filtern nach dem Zeitpunkt, zu dem eine Warnung aufgelöst wurde |
Risiko | ganze Zahl | eq, neq | Filtern nach Risiko |
alertType | ganze Zahl | eq, neq | Filtern nach Warnungstyp |
ID | string | eq, neq | Filtern nach Warnungs-IDs |
source | string | eq | Der Ursprung der Warnung, entweder integriert oder Richtlinie |
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.