Tipo de recurso de alerta
Se aplica a:
Nota:
Para obtener la experiencia completa disponible de alerts API en todos los productos de Microsoft Defenders, visite: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Nota:
Si es un cliente del Gobierno de EE. UU., use los URI que aparecen en Microsoft Defender para punto de conexión para clientes del Gobierno de EE. UU.
Sugerencia
Para mejorar el rendimiento, puede usar el servidor más cercano a la ubicación geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Métodos
| Método | Tipo de valor devuelto | Descripción |
|---|---|---|
| Obtener alerta | Alerta | Obtención de un único objeto de alerta |
| Listar alertas | Colección de alertas | Enumeración de la colección de alertas |
| Update alert | Alerta | Actualización de una alerta específica |
| Alertas de actualización por lotes | Actualización de un lote de alertas | |
| Crear alerta | Alerta | Creación de una alerta basada en datos de eventos obtenidos de la búsqueda avanzada |
| Enumeración de dominios relacionados | Colección de dominios | Enumerar direcciones URL asociadas a la alerta |
| Enumerar archivos relacionados | Colección de archivos | Enumerar las entidades de archivo asociadas a la alerta |
| Enumerar direcciones IP relacionadas | Colección ip | Enumeración de direcciones IP asociadas a la alerta |
| Obtener máquinas relacionadas | Máquina | La máquina asociada a la alerta |
| Obtener usuarios relacionados | Usuario | El usuario que está asociado a la alerta |
Propiedades
| Propiedad | Tipo | Descripción |
|---|---|---|
| Id. | Cadena | Identificador de alerta. |
| title | String | Título de la alerta. |
| description | String | Descripción de la alerta. |
| alertCreationTime | DateTimeOffset que admite valores NULL | Fecha y hora (en UTC) en la que se creó la alerta. |
| lastEventTime | DateTimeOffset que admite valores NULL | La última aparición del evento que desencadenó la alerta en el mismo dispositivo. |
| firstEventTime | DateTimeOffset que admite valores NULL | La primera aparición del evento que desencadenó la alerta en ese dispositivo. |
| lastUpdateTime | DateTimeOffset que admite valores NULL | Fecha y hora (en UTC) que la alerta se actualizó por última vez. |
| resolvedTime | DateTimeOffset que admite valores NULL | Fecha y hora en que se cambió el estado de la alerta a Resuelto. |
| incidentId | Long que acepta valores NULL | Identificador de incidente de la alerta. |
| investigationId | Long que acepta valores NULL | Identificador de investigación relacionado con la alerta. |
| investigationState | Enumeración que acepta valores NULL | Estado actual de la investigación. Los valores posibles son: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| assignedTo | Cadena | Propietario de la alerta. |
| rbacGroupName | Cadena | Nombre del grupo de dispositivos de control de acceso basado en rol. |
| mitreTechniques | Cadena | Identificador de técnica de Mitre Enterprise. |
| relatedUser | Cadena | Detalles del usuario relacionados con una alerta específica. |
| severity | Enum | Gravedad de la alerta. Los valores posibles son: UnSpecified, Informational, Low, Medium y High. |
| status | Enum | Especifica el estado actual de la alerta. Los valores posibles son: Unknown, New, InProgress y Resolved. |
| classification | Enumeración que acepta valores NULL | Especificación de la alerta. Los valores posibles son: TruePositive, Informational, expected activityy FalsePositive. |
| determinación | Enumeración que acepta valores NULL | Especifica la determinación de la alerta. Los valores de determinación posibles para cada clasificación son: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) y Other (Other). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia y Other (Otros). Not malicious (Limpiar): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Not enough data to validate (InsufficientData) y Other (Other). |
| categoría | Cadena | Categoría de la alerta. |
| detectionSource | Cadena | Origen de detección. |
| threatFamilyName | Cadena | Familia de amenazas. |
| threatName | Cadena | Nombre de la amenaza. |
| machineId | Cadena | Identificador de una entidad de máquina asociada a la alerta. |
| computerDnsName | Cadena | nombre completo de la máquina. |
| aadTenantId | Cadena | Identificador de Microsoft Entra. |
| detectorId | Cadena | Identificador del detector que desencadenó la alerta. |
| comments | Lista de comentarios de alerta | El objeto Alert Comment contiene: cadena de comentario, cadena createdBy y fecha y hora de createTime. |
| Evidencia | Lista de pruebas de alerta | Evidencia relacionada con la alerta. Vea el ejemplo siguiente. |
Nota:
Alrededor del 29 de agosto de 2022, los valores de determinación de alertas admitidos anteriormente (Apt y SecurityPersonnel) estarán en desuso y ya no estarán disponibles a través de la API.
Ejemplo de respuesta para obtener una única alerta:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
Artículos relacionados
Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.