Luetteloilmoitusten ohjelmointirajapinta
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Huomautus
Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint for Us Government -asiakkaille lueteltuja URI-osoitteita.
Vihje
Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Ohjelmointirajapinnan kuvaus
Hakee ilmoitusten kokoelman.
Tukee OData V4 -kyselyitä.
Tuetut OData-operaattorit:
-
$filteron:alertCreationTime, ,incidentIdlastUpdateTime,InvestigationId,id, ,asssignedTo,detectionSource,lastEventTime, ,statusseverityjacategoryominaisuudet. -
$topenimmäisarvo on 10 000 $skip-
$expand/evidence - Katso esimerkkejä OData-kyselyistä Microsoft Defender for Endpointin avulla.
Rajoitukset
Voit saada ilmoituksia, jotka on viimeksi päivitetty määritetyn säilytysajan mukaan.
Sivun enimmäiskoko on 10 000.
Tämän ohjelmointirajapinnan nopeusrajoitukset ovat 100 puhelua minuutissa ja 1 500 puhelua tunnissa.
Käyttöoikeudet
Tämän ohjelmointirajapinnan kutsumiseen tarvitaan jokin seuraavista käyttöoikeuksista. Lisätietoja käyttöoikeuksien valitsemisesta on artikkelissa Microsoft Defenderin käyttö päätepisteen ohjelmointirajapinnoille.
| Käyttöoikeustyyppi | Lupa | Käyttöoikeuden näyttönimi |
|---|---|---|
| Sovellus | Alert.Read.All | Read all alerts |
| Sovellus | Alert.ReadWrite.All | Read and write all alerts |
| Delegoitu (työpaikan tai oppilaitoksen tili) | Alert.Read | Read alerts |
| Delegoitu (työpaikan tai oppilaitoksen tili) | Alert.ReadWrite | Read and write alerts |
Huomautus
Kun hankit tunnuksen käyttäjän tunnistetiedoilla:
- Käyttäjällä on oltava vähintään seuraavat roolioikeudet:
View Data(Lisätietoja on artikkelissa Roolien luominen ja hallinta ) - Vastaus sisältää vain ilmoituksia, jotka liittyvät laitteisiin, joita käyttäjä voi käyttää laiteryhmän asetusten perusteella (lisätietoja on kohdassa Laiteryhmien luominen ja hallinta )
Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.
HTTP-pyyntö
GET /api/alerts
Pyynnön otsikot
| Nimi | Kirjoita | Kuvaus |
|---|---|---|
| Lupa | Merkkijono | Haltija {token}. Pakollinen. |
Pyynnön leipäteksti
Tyhjä
Vastaus
Jos tämä menetelmä onnistuu, se palauttaa arvon 200 OK ja luettelon hälytysobjekteista vastauksen leipätekstissä.
Esimerkki 1 – Oletus
Pyytää
Tässä on esimerkki pyynnöstä.
GET https://api.securitycenter.microsoft.com/api/alerts
Vastaus
Tässä on esimerkki vastauksesta.
Huomautus
Tässä näkyvä vastausluettelo voidaan katkaista lyhyyden vuoksi. Kaikki hälytykset palautetaan todellisesta puhelusta.
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Alerts",
"value": [
{
"id": "da637308392288907382_-880718168",
"incidentId": 7587,
"investigationId": 723156,
"assignedTo": "secop123@contoso.com",
"severity": "Low",
"status": "New",
"classification": "TruePositive",
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAv",
"category": "SuspiciousActivity",
"threatFamilyName": "Meterpreter",
"title": "Suspicious 'Meterpreter' behavior was detected",
"description": "Malware and unwanted software are undesirable applications that perform annoying, disruptive, or harmful actions on affected machines. Some of these undesirable applications can replicate and spread from one machine to another. Others are able to receive commands from remote attackers and perform activities associated with cyber attacks.\n\nA malware is considered active if it is found running on the machine or it already has persistence mechanisms in place. Active malware detections are assigned higher severity ratings.\n\nBecause this malware was active, take precautionary measures and check for residual signs of infection.",
"alertCreationTime": "2020-07-20T10:53:48.7657932Z",
"firstEventTime": "2020-07-20T10:52:17.6654369Z",
"lastEventTime": "2020-07-20T10:52:18.1362905Z",
"lastUpdateTime": "2020-07-20T10:53:50.19Z",
"resolvedTime": null,
"machineId": "12ee6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "MiddleEast",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2020-07-21T01:00:37.8404534Z"
}
],
"evidence": []
}
...
]
}
Esimerkki 2 – Hanki 10 viimeisintä ilmoitusta, joissa on aiheeseen liittyviä todisteita
Pyytää
Tässä on esimerkki pyynnöstä.
GET https://api.securitycenter.microsoft.com/api/alerts?$top=10&$expand=evidence
Vastaus
Tässä on esimerkki vastauksesta.
Huomautus
Tässä näkyvä vastausluettelo voidaan katkaista lyhyyden vuoksi. Kaikki hälytykset palautetaan todellisesta puhelusta.
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Alerts",
"value": [
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
},
...
]
}
Tutustu myös seuraaviin ohjeartikkeleihin:
OData-kyselyt Microsoft Defender for Endpointilla
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.