Warnungsressourcentyp
Gilt für:
Hinweis
Die vollständige verfügbare Oberfläche der Warnungs-API für alle Microsoft Defenders-Produkte finden Sie unter Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Hinweis
Wenn Sie ein US Government-Kunde sind, verwenden Sie die URIs, die unter Microsoft Defender für Endpunkt für US Government-Kunden aufgeführt sind.
Tipp
Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Warnung erhalten | Warnung | Abrufen eines einzelnen Warnungsobjekts |
| Warnungen auflisten | Warnungssammlung | Auflisten der Warnungssammlung |
| Warnung aktualisieren | Warnung | Aktualisieren einer bestimmten Warnung |
| Batch-Aktualisierungswarnungen | Aktualisieren eines Batches von Warnungen | |
| Warnung erstellen | Warnung | Erstellen einer Warnung basierend auf Ereignisdaten, die von der erweiterten Suche abgerufen wurden |
| Auflisten verwandter Domänen | Domänensammlung | Auflisten der URLs, die der Warnung zugeordnet sind |
| Auflisten verwandter Dateien | Dateisammlung | Auflisten der Dateientitäten, die der Warnung zugeordnet sind |
| Auflisten verwandter IP-Adressen | IP-Sammlung | Auflisten der IP-Adressen, die der Warnung zugeordnet sind |
| Abrufen verwandter Computer | Computer | Der Computer, der der Warnung zugeordnet ist |
| Abrufen verwandter Benutzer | Benutzer | Der Benutzer, der der Warnung zugeordnet ist |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| ID | Zeichenfolge | Warnungs-ID. |
| title | String | Warnungstitel. |
| description | String | Warnungsbeschreibung. |
| alertCreationTime | Nullable DateTimeOffset | Das Datum und die Uhrzeit (in UTC), zu dem die Warnung erstellt wurde. |
| lastEventTime | Nullable DateTimeOffset | Das letzte Vorkommen des Ereignisses, das die Warnung auf demselben Gerät ausgelöst hat. |
| firstEventTime | Nullable DateTimeOffset | Das erste Vorkommen des Ereignisses, das die Warnung auf diesem Gerät ausgelöst hat. |
| lastUpdateTime | Nullable DateTimeOffset | Das Datum und die Uhrzeit (in UTC), zu dem die Warnung zuletzt aktualisiert wurde. |
| resolvedTime | Nullable DateTimeOffset | Das Datum und die Uhrzeit, an dem der Status der Warnung in Gelöst geändert wurde. |
| incidentId | Nullable Long | Die Incident-ID der Warnung. |
| investigationId | Nullable Long | Die Untersuchungs-ID im Zusammenhang mit der Warnung. |
| investigationState | Nullable Enum | Der aktuelle Status der Untersuchung. Mögliche Werte: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| assignedTo | Zeichenfolge | Besitzer der Warnung. |
| rbacGroupName | Zeichenfolge | Name der Gerätegruppe für die rollenbasierte Zugriffssteuerung. |
| mitreTechniques | Zeichenfolge | Mitre Enterprise-Technik-ID. |
| relatedUser | Zeichenfolge | Details des Benutzers im Zusammenhang mit einer bestimmten Warnung. |
| Schweregrad | Enum | Der Schweregrad der Warnung. Mögliche Werte sind: UnSpecified, Informational, Low, Medium und High. |
| status | Enum | Gibt den aktuellen Status der Warnung an. Mögliche Werte sind: Unknown, New, InProgress und Resolved. |
| classification | Nullable Enum | Spezifikation der Warnung. Mögliche Werte sind: TruePositive, Informational, expected activityund FalsePositive. |
| Entschlossenheit | Nullable Enum | Gibt die Bestimmung der Warnung an. Mögliche Bestimmungswerte für jede Klassifizierung sind: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – erwägen Sie, Malware den Enumerationsnamen in der öffentlichen API entsprechend (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) und Other (Other) zu ändern. Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend und Other (Sonstige) zu ändern. Not malicious (Bereinigen) – Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend (InsufficientData) und Other (Sonstige) zu Not enough data to validate ändern. |
| category | String | Die Kategorie der Warnung. |
| detectionSource | Zeichenfolge | Erkennungsquelle. |
| threatFamilyName | Zeichenfolge | Bedrohungsfamilie. |
| threatName | Zeichenfolge | Bedrohungsname. |
| machineId | Zeichenfolge | ID einer Computerentität , die der Warnung zugeordnet ist. |
| computerDnsName | Zeichenfolge | vollqualifizierter Computername . |
| aadTenantId | Zeichenfolge | Die Microsoft Entra-ID. |
| detectorId | Zeichenfolge | Die ID des Detektors, der die Warnung ausgelöst hat. |
| Kommentare | Liste der Warnungskommentare | Das Alert Comment-Objekt enthält: kommentarzeichenfolge, createdBy string und createTime date time. |
| Beweis | Liste der Warnungsbeweis | Beweise im Zusammenhang mit der Warnung. Beispiel: |
Hinweis
Um den 29. August 2022 werden zuvor unterstützte Warnungsermittlungswerte (Apt und SecurityPersonnel) veraltet und über die API nicht mehr verfügbar sein.
Antwortbeispiel für das Abrufen einer einzelnen Warnung:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
Verwandte Artikel
Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für