Hälytysresurssin tyyppi
Koskee seuraavia:
Huomautus
Saat kaikkien Microsoft Defenderien tuotteiden täydet saatavilla olevat ilmoitukset -ohjelmointirajapinnan käyttökokemuksen seuraavasta artikkelista: Käytä Microsoft Graph -suojauksen ohjelmointirajapintaa - Microsoft Graph | Microsoft Learn.
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Huomautus
Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint for Us Government -asiakkaille lueteltuja URI-osoitteita.
Vihje
Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Menetelmät
| Menetelmä | Palautustyyppi | Kuvaus |
|---|---|---|
| Hanki ilmoitus | Ilmoitus | Hanki yksittäinen ilmoitusobjekti |
| Luetteloilmoitukset | Ilmoituskokoelma | Luettelon ilmoituskokoelma |
| Päivitä ilmoitus | Ilmoitus | Päivitä tietty ilmoitus |
| Eräpäivitysilmoitukset | Ilmoituserän päivittäminen | |
| Luo ilmoitus | Ilmoitus | Luo hälytys kehittyneestä metsästyksestä saatujen tapahtumatietojen perusteella |
| Luetteloi liittyvät toimialueet | Toimialuekokoelma | Ilmoituksiin liittyvien URL-osoitteiden luettelo |
| Luettele liittyvät tiedostot | Tiedostokokoelma | Luettele ilmoituksiin liittyvät tiedostoentiteetit |
| Luetteloon liittyvät IPS:t | IP-kokoelma | Luettele hälytykseen liittyvät IPS:t |
| Liittyvien koneiden hakeminen | Kone | Hälytykseen liitetty tietokone |
| Hae aiheeseen liittyvät käyttäjät | Käyttäjä | Ilmoituksiin liittyvä käyttäjä |
Ominaisuudet
| Ominaisuus | Kirjoita | Kuvaus |
|---|---|---|
| ID | Merkkijono | Ilmoituksen tunnus. |
| nimike | Merkkijono | Ilmoituksen otsikko. |
| kuvaus | Merkkijono | Ilmoituksen kuvaus. |
| alertCreationTime | Tyhjäarvoinen datetimeoffset | Ilmoituksen luontipäivämäärä ja -kellonaika (UTC-ajassa). |
| lastEventTime | Tyhjäarvoinen datetimeoffset | Hälytyksen käynnistäneen tapahtuman viimeinen esiintymä samassa laitteessa. |
| firstEventTime | Tyhjäarvoinen datetimeoffset | Hälytyksen käynnistäneen tapahtuman ensimmäinen esiintymä kyseisessä laitteessa. |
| lastUpdateTime | Tyhjäarvoinen datetimeoffset | Ilmoituksen päivämäärä ja kellonaika (UTC-ajassa) päivitettiin viimeksi. |
| resolvedTime | Tyhjäarvoinen datetimeoffset | Päivämäärä ja kellonaika, jolloin hälytyksen tilaksi muutettiin Ratkaistu. |
| incidentId | Tyhjäarvon salliva pitkä | Hälytyksen tapaustunnus . |
| investigationId | Tyhjäarvon salliva pitkä | Ilmoitukseen liittyvä tutkintatunnus . |
| investigationState | Tyhjäarvoa käyttävä luettelointi | Tutkinnan nykyinen tila. Mahdollisia arvoja ovat: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| assignedTo | Merkkijono | Hälytyksen omistaja. |
| rbacGroupName | Merkkijono | Roolipohjaisen käytönvalvontalaiteryhmän nimi. |
| mitreAippain | Merkkijono | Mitre Enterprise -tekniikkatunnus. |
| relatedUser | Merkkijono | Tiettyyn ilmoitukseen liittyvän käyttäjän tiedot. |
| vakavuus | Luettelointi | Hälytyksen vakavuus. Mahdollisia arvoja ovat UnSpecified, Informational, Low, Medium ja High. |
| tila | Luettelointi | Määrittää hälytyksen nykyisen tilan. Mahdollisia arvoja ovat : Tuntematon, Uusi, Edistyminen ja Ratkaistu. |
| luokitus | Tyhjäarvoa käyttävä luettelointi | Hälytyksen määritys. Mahdollisia arvoja ovat : TruePositive, Informational, expected activityja FalsePositive. |
| määrätietoisuus | Tyhjäarvoa käyttävä luettelointi | Määrittää hälytyksen määrittämisen. Kunkin luokituksen mahdolliset määritysarvot ovat seuraavat: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Malware (Malware), Phishing (tietojenkalastelu), Unwanted software (Ei-toivottuOhjelmisto) ja Other (Muu). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti ja Other (Muu). Not malicious (Puhdas) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Not enough data to validate (InsufficientData) ja Other (Muu). |
| luokka | Merkkijono | Hälytyksen luokka. |
| detectionSource | Merkkijono | Tunnistamislähde. |
| threatFamilyName | Merkkijono | Uhkaperhe. |
| threatName | Merkkijono | Uhan nimi. |
| machineId | Merkkijono | Ilmoitukseen liittyvän koneentiteetin tunnus. |
| computerDnsName | Merkkijono | koneen täydellinen nimi. |
| aadTenantId | Merkkijono | Microsoft Entra -tunnus. |
| detectorId | Merkkijono | Hälytyksen käynnistäneen ilmaisimen tunnus. |
| Kommentit | Ilmoituskommenttien luettelo | Alert Comment -objekti sisältää: kommenttimerkkijonon, createdBy-merkkijonon ja createTime-päivämäärän ajan. |
| Todiste | Ilmoitusnäyttöjen luettelo | Hälytykseen liittyvät todisteet. Katso seuraava esimerkki. |
Huomautus
Noin 29. elokuuta 2022 aiemmin tuetut hälytysten määritysarvot (Apt ja SecurityPersonnel) poistetaan käytöstä, eivätkä ne ole enää käytettävissä ohjelmointirajapinnan kautta.
Vastausesimerkki yksittäisen ilmoituksen saamisesta:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
Aiheeseen liittyviä artikkeleita
Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.