API de alertas
Alerts API proporciona información sobre los riesgos inmediatos identificados por Defender for Cloud Apps que requieren atención. Las alertas pueden ser resultado de patrones de uso sospechosos o de archivos que contienen contenido que infringe la directiva de la empresa.
A continuación se enumeran las solicitudes admitidas:
- Listar alertas
- Cerrar benigno
- Cerrar falso positivo
- Cerrar verdadero positivo
- Captura de alerta
- Marcar la alerta como leída
- Marcar la alerta como no leída
En la tabla siguiente se enumeran las solicitudes en desuso como obsoletas y las solicitudes que las reemplazan.
Solicitud obsoleta | Alternativa |
---|---|
Descartar en bloque | Cerrar falso positivo |
Resolución masiva | Cerrar verdadero positivo |
Descartar alerta | Cerrar falso positivo |
Nota
Las solicitudes en desuso se han asignado a sus alternativas para evitar interrupciones. Sin embargo, si usa solicitudes obsoletas en su entorno, se recomienda actualizarlas a sus alternativas.
El objeto de respuesta define las siguientes propiedades.
Propiedad | Tipo | Descripción |
---|---|---|
_identificación | Entero | Identificador de tipo de alerta |
Timestamp | largo | Marca de tiempo de cuando se generó la alerta |
Entidades | lista | Lista de entidades relacionadas con la alerta |
title | string | El título de la alerta |
description | string | Descripción de la alerta |
isMarkdown | bool | Marca para indicar si la descripción de la alerta ya está en HTML |
statusValue | Entero | Estado de la alerta. Los valores posibles son: 0: NO LEÍDO 1: LEER 2: ARCHIVADO |
severityValue | Entero | Gravedad de la alerta. Los valores posibles son: 0: BAJA 1: MEDIO 2: ALTA 3: INFORMATIVO |
resolutionStatusValue | Entero | Estado de la alerta. Los valores posibles son: 0: ABRIR 1: DESCARTADO 2: RESUELTO 3: FALSE_POSITIVE 4: BENIGN 5: TRUE_POSITIVE |
Historias | lista | Categoría de riesgo. Los valores posibles son: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: CUMPLIMIENTO 3: DLP 4: DETECCIÓN 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
evidencia | lista | Lista de descripciones breves de las partes principales de la alerta |
objetivo | lista | Campo que especifica la intención relacionada con la cadena de eliminación detrás de la alerta. Se pueden notificar varios valores en este campo. Los valores de enumeración de intención siguen el modelo de matriz empresarial att@ck MITRE. Encontrará más instrucciones sobre las distintas técnicas que componen cada intención en la documentación de MITRE. Los valores posibles son: 0: DESCONOCIDO 1: PREATTACK 2: INITIAL_ACCESS 3: PERSISTENCIA 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: DETECCIÓN 8: LATERAL_MOVEMENT 9: EJECUCIÓN 10: COLECCIÓN 11: FILTRACIÓN 12: COMMAND_AND_CONTROL 13: IMPACTO |
isPreview | bool | Alertas que se han publicado recientemente como disponibilidad general |
auditorías (opcional) | lista | Lista de identificadores de evento relacionados con la alerta |
threatScore | Entero | Prioridad de investigación del usuario |
Para obtener información sobre cómo funcionan los filtros, vea Filtros.
En la tabla siguiente se describen los filtros admitidos:
Filtro | Tipo | Operadores | Descripción |
---|---|---|---|
entity.entity | entity pk | eq,neq | Filtrar alertas relacionadas con entidades especificadas. Ejemplo: [{ "id": "entity-id", "inst": 0 }] |
entity.ip | string | eq, neq | Filtrar alertas relacionadas con direcciones IP especificadas |
entity.service | integer | eq, neq | Filtrar alertas relacionadas con el appId de servicio especificado, por ejemplo: 11770 |
entity.instance | integer | eq, neq | Filtrar alertas relacionadas con las instancias especificadas, por ejemplo: 11770, 1059065 |
entity.policy | string | eq, neq | Filtrar alertas relacionadas con las directivas especificadas |
entity.file | string | eq, neq | Filtrar alertas relacionadas con el archivo especificado |
alertOpen | booleano | eq | Si se establece en true, devuelve solo las alertas abiertas; si se establece en false, solo devuelve alertas cerradas. |
severity | integer | eq, neq | Filtre por gravedad. Los valores posibles son: 0: Baja 1: Medio 2: Alto |
resolutionStatus | integer | eq, neq | Filtre por estado de resolución de alertas, entre los valores posibles se incluyen: 0: Abrir 1: Descartado (estado heredado) 2: Resuelto (estado heredado) 3: Cerrado como falso positivo 4: Cerrado como benigno 5: Cerrado como verdadero positivo |
read | booleano | eq | Si se establece en true, devuelve solo alertas de lectura; si se establece en false, devuelve alertas no leídas. |
date | Timestamp | lte, gte, range, lte_ndays, gte_ndays | Filtrar por el momento en que se desencadenó una alerta |
resolutionDate | Timestamp | lte, gte, range | Filtrar por el momento en que se resolvió una alerta |
riesgo | integer | eq, neq | Filtrar por riesgo |
alertType | integer | eq, neq | Filtrar por tipo de alerta |
Id. | string | eq, neq | Filtrar por identificadores de alerta |
source | string | eq | Origen de la alerta, ya sea integrada o directiva |
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.