Leer en inglés

Compartir a través de


Tipo de recurso de alerta

Se aplica a:

Nota

Para obtener la experiencia completa disponible de alerts API en todos los productos de Microsoft Defenders, visite: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Nota

Si es un cliente del Gobierno de EE. UU., use los URI que aparecen en Microsoft Defender para punto de conexión para clientes del Gobierno de EE. UU.

Sugerencia

Para mejorar el rendimiento, puede usar el servidor más cercano a la ubicación geográfica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Métodos

Método Tipo de valor devuelto Descripción
Obtener alerta Alerta Obtención de un único objeto de alerta
Listar alertas Colección de alertas Enumeración de la colección de alertas
Update alert Alerta Actualización de una alerta específica
Alertas de actualización por lotes Actualización de un lote de alertas
Crear alerta Alerta Creación de una alerta basada en datos de eventos obtenidos de la búsqueda avanzada
Enumeración de dominios relacionados Colección de dominios Enumerar direcciones URL asociadas a la alerta
Enumerar archivos relacionados Colección de archivos Enumerar las entidades de archivo asociadas a la alerta
Enumerar direcciones IP relacionadas Colección ip Enumeración de direcciones IP asociadas a la alerta
Obtener máquinas relacionadas Máquina La máquina asociada a la alerta
Obtener usuarios relacionados Usuario El usuario que está asociado a la alerta

Propiedades

Propiedad Tipo Descripción
Id. Cadena Identificador de alerta.
title String Título de la alerta.
description String Descripción de la alerta.
alertCreationTime DateTimeOffset que admite valores NULL Fecha y hora (en UTC) en la que se creó la alerta.
lastEventTime DateTimeOffset que admite valores NULL La última aparición del evento que desencadenó la alerta en el mismo dispositivo.
firstEventTime DateTimeOffset que admite valores NULL La primera aparición del evento que desencadenó la alerta en ese dispositivo.
lastUpdateTime DateTimeOffset que admite valores NULL Fecha y hora (en UTC) que la alerta se actualizó por última vez.
resolvedTime DateTimeOffset que admite valores NULL Fecha y hora en que se cambió el estado de la alerta a Resuelto.
incidentId Long que acepta valores NULL Identificador de incidente de la alerta.
investigationId Long que acepta valores NULL Identificador de investigación relacionado con la alerta.
investigationState Enumeración que acepta valores NULL Estado actual de la investigación. Los valores posibles son: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Cadena Propietario de la alerta.
rbacGroupName Cadena Nombre del grupo de dispositivos de control de acceso basado en rol.
mitreTechniques Cadena Identificador de técnica de Mitre Enterprise.
relatedUser Cadena Detalles del usuario relacionados con una alerta específica.
severity Enum Gravedad de la alerta. Los valores posibles son: UnSpecified, Informational, Low, Medium y High.
status Enum Especifica el estado actual de la alerta. Los valores posibles son: Unknown, New, InProgress y Resolved.
classification Enumeración que acepta valores NULL Especificación de la alerta. Los valores posibles son: TruePositive, Informational, expected activityy FalsePositive.
determinación Enumeración que acepta valores NULL Especifica la determinación de la alerta.

Los valores de determinación posibles para cada clasificación son:

  • Verdadero positivo: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) y Other (Other).
  • Actividad informativa y esperada:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia y Other (Otros).
  • Falso positivo:Not malicious (Limpiar): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Not enough data to validate (InsufficientData) y Other (Other).
  • categoría Cadena Categoría de la alerta.
    detectionSource Cadena Origen de detección.
    threatFamilyName Cadena Familia de amenazas.
    threatName Cadena Nombre de la amenaza.
    machineId Cadena Identificador de una entidad de máquina asociada a la alerta.
    computerDnsName Cadena nombre completo de la máquina.
    aadTenantId Cadena Identificador de Microsoft Entra.
    detectorId Cadena Identificador del detector que desencadenó la alerta.
    comments Lista de comentarios de alerta El objeto Alert Comment contiene: cadena de comentario, cadena createdBy y fecha y hora de createTime.
    Evidencia Lista de pruebas de alerta Evidencia relacionada con la alerta. Vea el ejemplo siguiente.

    Nota

    Alrededor del 29 de agosto de 2022, los valores de determinación de alertas admitidos anteriormente (Apt y SecurityPersonnel) estarán en desuso y ya no estarán disponibles a través de la API.

    Ejemplo de respuesta para obtener una única alerta:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn

    Sugerencia

    ¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.