Jaa


Hälytysresurssin tyyppi

Koskee seuraavia:

Huomautus

Saat kaikkien Microsoft Defenderien tuotteiden täydet saatavilla olevat ilmoitukset -ohjelmointirajapinnan käyttökokemuksen seuraavasta artikkelista: Käytä Microsoft Graph -suojauksen ohjelmointirajapintaa - Microsoft Graph | Microsoft Learn.

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint lueteltuja URI-tunnuksia Yhdysvaltain valtionhallinnon asiakkaille.

Vihje

Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Menetelmiä

Menetelmä Palautustyyppi Kuvaus
Hanki ilmoitus Ilmoitus Hanki yksittäinen ilmoitusobjekti
Luetteloilmoitukset Ilmoituskokoelma Luettelon ilmoituskokoelma
Päivitä ilmoitus Ilmoitus Päivitä tietty ilmoitus
Eräpäivitysilmoitukset Ilmoituserän päivittäminen
Luo ilmoitus Ilmoitus Create hälytys kehittyneestä metsästyksestä saatujen tapahtumatietojen perusteella
Luetteloi liittyvät toimialueet Toimialuekokoelma Ilmoituksiin liittyvien URL-osoitteiden luettelo
Luettele liittyvät tiedostot Tiedostokokoelma Luettele ilmoituksiin liittyvät tiedostoentiteetit
Luetteloon liittyvät IPS:t IP-kokoelma Luettele hälytykseen liittyvät IPS:t
Liittyvien koneiden hakeminen Kone Hälytykseen liitetty tietokone
Hae aiheeseen liittyvät käyttäjät Käyttäjä Ilmoituksiin liittyvä käyttäjä

Majoituspaikkaa

Ominaisuus Kirjoita Kuvaus
ID Merkkijono Ilmoituksen tunnus.
Otsikko Merkkijono Ilmoituksen otsikko.
Kuvaus Merkkijono Ilmoituksen kuvaus.
alertCreationTime Tyhjäarvoinen datetimeoffset Ilmoituksen luontipäivämäärä ja -kellonaika (UTC-ajassa).
lastEventTime Tyhjäarvoinen datetimeoffset Hälytyksen käynnistäneen tapahtuman viimeinen esiintymä samassa laitteessa.
firstEventTime Tyhjäarvoinen datetimeoffset Hälytyksen käynnistäneen tapahtuman ensimmäinen esiintymä kyseisessä laitteessa.
lastUpdateTime Tyhjäarvoinen datetimeoffset Ilmoituksen päivämäärä ja kellonaika (UTC-ajassa) päivitettiin viimeksi.
resolvedTime Tyhjäarvoinen datetimeoffset Päivämäärä ja kellonaika, jolloin hälytyksen tilaksi muutettiin Ratkaistu.
incidentId Tyhjäarvon salliva pitkä Hälytyksen tapaustunnus .
investigationId Tyhjäarvon salliva pitkä Ilmoitukseen liittyvä tutkintatunnus .
investigationState Tyhjäarvoa käyttävä luettelointi Tutkinnan nykyinen tila. Mahdollisia arvoja ovat: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Merkkijono Hälytyksen omistaja.
rbacGroupName Merkkijono Roolipohjaisen käytönvalvontalaiteryhmän nimi.
mitreAippain Merkkijono Mitre Enterprise -tekniikkatunnus.
relatedUser Merkkijono Tiettyyn ilmoitukseen liittyvän käyttäjän tiedot.
Vakavuus Enum Hälytyksen vakavuus. Mahdollisia arvoja ovat UnSpecified, Informational, Low, Medium ja High.
Tila Enum Määrittää hälytyksen nykyisen tilan. Mahdollisia arvoja ovat : Tuntematon, Uusi, Edistyminen ja Ratkaistu.
Luokittelu Tyhjäarvoa käyttävä luettelointi Hälytyksen määritys. Mahdollisia arvoja ovat : TruePositive, Informational, expected activityja FalsePositive.
Määrittäminen Tyhjäarvoa käyttävä luettelointi Määrittää hälytyksen määrittämisen.

Kunkin luokituksen mahdolliset määritysarvot ovat seuraavat:

  • Tosi positiivinen: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Malware (Malware), Phishing (tietojenkalastelu), Unwanted software (Ei-toivottuOhjelmisto) ja Other (Muu).
  • Tietoinen, odotettu toiminto:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti ja Other (Muu).
  • Epätosi-positiivinen:Not malicious (Puhdas) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Not enough data to validate (InsufficientData) ja Other (Muu).
  • Luokka Merkkijono Hälytyksen luokka.
    detectionSource Merkkijono Tunnistamislähde.
    threatFamilyName Merkkijono Uhkaperhe.
    threatName Merkkijono Uhan nimi.
    machineId Merkkijono Ilmoitukseen liittyvän koneentiteetin tunnus.
    computerDnsName Merkkijono koneen täydellinen nimi.
    aadTenantId Merkkijono Microsoft Entra ID.
    detectorId Merkkijono Hälytyksen käynnistäneen ilmaisimen tunnus.
    Kommentit Ilmoituskommenttien luettelo Alert Comment -objekti sisältää: kommenttimerkkijonon, createdBy-merkkijonon ja createTime-päivämäärän ajan.
    Todisteita Ilmoitusnäyttöjen luettelo Hälytykseen liittyvät todisteet. Katso seuraava esimerkki.

    Huomautus

    Noin 29. elokuuta 2022 aiemmin tuetut hälytysten määritysarvot (Apt ja SecurityPersonnel) poistetaan käytöstä, eivätkä ne ole enää käytettävissä ohjelmointirajapinnan kautta.

    Vastausesimerkki yksittäisen ilmoituksen saamisesta:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn

    Vihje

    Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.