Leer en inglés

Compartir a través de


API de alertas

Alerts API proporciona información sobre los riesgos inmediatos identificados por Defender for Cloud Apps que requieren atención. Las alertas pueden ser resultado de patrones de uso sospechosos o de archivos que contienen contenido que infringe la directiva de la empresa.

A continuación se enumeran las solicitudes admitidas:

Solicitudes en desuso

En la tabla siguiente se enumeran las solicitudes en desuso como obsoletas y las solicitudes que las reemplazan.

Solicitud obsoleta Alternativa
Descartar en bloque Cerrar falso positivo
Resolución masiva Cerrar verdadero positivo
Descartar alerta Cerrar falso positivo

Nota

Las solicitudes en desuso se han asignado a sus alternativas para evitar interrupciones. Sin embargo, si usa solicitudes obsoletas en su entorno, se recomienda actualizarlas a sus alternativas.

Propiedades

El objeto de respuesta define las siguientes propiedades.

Propiedad Tipo Descripción
_identificación Entero Identificador de tipo de alerta
Timestamp largo Marca de tiempo de cuando se generó la alerta
Entidades lista Lista de entidades relacionadas con la alerta
title string El título de la alerta
description string Descripción de la alerta
isMarkdown bool Marca para indicar si la descripción de la alerta ya está en HTML
statusValue Entero Estado de la alerta. Los valores posibles son:

0: NO LEÍDO
1: LEER
2: ARCHIVADO
severityValue Entero Gravedad de la alerta. Los valores posibles son:

0: BAJA
1: MEDIO
2: ALTA
3: INFORMATIVO
resolutionStatusValue Entero Estado de la alerta. Los valores posibles son:

0: ABRIR
1: DESCARTADO
2: RESUELTO
3: FALSE_POSITIVE
4: BENIGN
5: TRUE_POSITIVE
Historias lista Categoría de riesgo. Los valores posibles son:

0: THREAT_DETECTION
1: PRIVILEGED_ACCOUNT_MONITORING
2: CUMPLIMIENTO
3: DLP
4: DETECCIÓN
5: SHARING_CONTROL
7: ACCESS_CONTROL
8: CONFIGURATION_MONITORING
evidencia lista Lista de descripciones breves de las partes principales de la alerta
objetivo lista Campo que especifica la intención relacionada con la cadena de eliminación detrás de la alerta. Se pueden notificar varios valores en este campo. Los valores de enumeración de intención siguen el modelo de matriz empresarial att@ck MITRE. Encontrará más instrucciones sobre las distintas técnicas que componen cada intención en la documentación de MITRE.
Los valores posibles son:

0: DESCONOCIDO
1: PREATTACK
2: INITIAL_ACCESS
3: PERSISTENCIA
4: PRIVILEGE_ESCALATION
5: DEFENSE_EVASION
6: CREDENTIAL_ACCESS
7: DETECCIÓN
8: LATERAL_MOVEMENT
9: EJECUCIÓN
10: COLECCIÓN
11: FILTRACIÓN
12: COMMAND_AND_CONTROL
13: IMPACTO
isPreview bool Alertas que se han publicado recientemente como disponibilidad general
auditorías (opcional) lista Lista de identificadores de evento relacionados con la alerta
threatScore Entero Prioridad de investigación del usuario

Filtros

Para obtener información sobre cómo funcionan los filtros, vea Filtros.

En la tabla siguiente se describen los filtros admitidos:

Filtro Tipo Operadores Descripción
entity.entity entity pk eq,neq Filtrar alertas relacionadas con entidades especificadas. Ejemplo: [{ "id": "entity-id", "inst": 0 }]
entity.ip string eq, neq Filtrar alertas relacionadas con direcciones IP especificadas
entity.service integer eq, neq Filtrar alertas relacionadas con el appId de servicio especificado, por ejemplo: 11770
entity.instance integer eq, neq Filtrar alertas relacionadas con las instancias especificadas, por ejemplo: 11770, 1059065
entity.policy string eq, neq Filtrar alertas relacionadas con las directivas especificadas
entity.file string eq, neq Filtrar alertas relacionadas con el archivo especificado
alertOpen booleano eq Si se establece en true, devuelve solo las alertas abiertas; si se establece en false, solo devuelve alertas cerradas.
severity integer eq, neq Filtre por gravedad. Los valores posibles son:

0: Baja
1: Medio
2: Alto
resolutionStatus integer eq, neq Filtre por estado de resolución de alertas, entre los valores posibles se incluyen:

0: Abrir
1: Descartado (estado heredado)
2: Resuelto (estado heredado)
3: Cerrado como falso positivo
4: Cerrado como benigno
5: Cerrado como verdadero positivo
read booleano eq Si se establece en true, devuelve solo alertas de lectura; si se establece en false, devuelve alertas no leídas.
date Timestamp lte, gte, range, lte_ndays, gte_ndays Filtrar por el momento en que se desencadenó una alerta
resolutionDate Timestamp lte, gte, range Filtrar por el momento en que se resolvió una alerta
riesgo integer eq, neq Filtrar por riesgo
alertType integer eq, neq Filtrar por tipo de alerta
Id. string eq, neq Filtrar por identificadores de alerta
source string eq Origen de la alerta, ya sea integrada o directiva

Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.