Type de ressource d’alerte
S’applique à :
Remarque
Pour obtenir l’expérience complète de l’API Alertes sur tous les produits Microsoft Defenders, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Remarque
Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.
Conseil
Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Méthodes
| Méthode | Type renvoyé | Description |
|---|---|---|
| Obtenir une alerte | Alerte | Obtenir un seul objet d’alerte |
| Répertorier les alertes | Collecte d’alertes | Lister la collection d’alertes |
| Mettre à jour une alerte | Alerte | Mettre à jour une alerte spécifique |
| Alertes de mise à jour par lot | Mettre à jour un lot d’alertes | |
| Créer une alerte | Alerte | Créer une alerte basée sur les données d’événement obtenues à partir de la chasse avancée |
| Lister les domaines associés | Collection de domaines | Lister les URL associées à l’alerte |
| Répertorier les fichiers associés | Collection de fichiers | Répertorier les entités de fichier associées à l’alerte |
| Lister les adresses IP associées | Collection d’adresses IP | Répertorier les adresses IP associées à l’alerte |
| Obtenir des machines associées | Ordinateur | Machine associée à l’alerte |
| Obtenir des utilisateurs associés | Utilisateur | L’utilisateur associé à l’alerte |
Propriétés
| Propriété | Type | Description |
|---|---|---|
| ID | Chaîne | ID d’alerte. |
| title | String | Titre de l’alerte. |
| description | String | Description de l’alerte. |
| alertCreationTime | Nullable DateTimeOffset | Date et heure (UTC) de la création de l’alerte. |
| lastEventTime | Nullable DateTimeOffset | Dernière occurrence de l’événement qui a déclenché l’alerte sur le même appareil. |
| firstEventTime | Nullable DateTimeOffset | Première occurrence de l’événement qui a déclenché l’alerte sur cet appareil. |
| lastUpdateTime | Nullable DateTimeOffset | Date et heure (utc) de la dernière mise à jour de l’alerte. |
| resolvedTime | Nullable DateTimeOffset | Date et heure auxquelles l’état de l’alerte a été remplacé par Résolu. |
| incidentId | Nullable Long | ID d’incident de l’alerte. |
| investigationId | Nullable Long | ID d’investigation lié à l’alerte. |
| investigationState | Énumération nullable | État actuel de l’enquête. Les valeurs possibles sont : Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartialRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| assignedTo | Chaîne | Propriétaire de l’alerte. |
| rbacGroupName | Chaîne | Nom du groupe d’appareils de contrôle d’accès en fonction du rôle. |
| mitreTechniques | Chaîne | ID technique Mitre Enterprise. |
| relatedUser | Chaîne | Détails de l’utilisateur lié à une alerte spécifique. |
| Sévérité | Énum | Gravité de l’alerte. Les valeurs possibles sont : UnSpecified, Informational, Low, Medium et High. |
| status | Énum | Spécifie l’état actuel de l’alerte. Les valeurs possibles sont : Unknown, New, InProgress et Resolved. |
| classification | Énumération nullable | Spécification de l’alerte. Les valeurs possibles sont , TruePositiveInformational, expected activityet FalsePositive. |
| détermination | Énumération nullable | Spécifie la détermination de l’alerte. Les valeurs de détermination possibles pour chaque classification sont les suivantes : Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Malware (Programme malveillant), Phishing (Hameçonnage), Unwanted software (UnwantedSoftware) et Other (Autre). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmUserActivity) : envisagez de modifier le nom d’énumération dans l’API publique en conséquence, et Other (Autre). Not malicious (Nettoyer) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Not enough data to validate (InsufficientData) et Other (Autre). |
| category | String | Catégorie de l’alerte. |
| detectionSource | Chaîne | Source de détection. |
| threatFamilyName | Chaîne | Famille de menaces. |
| threatName | Chaîne | Nom de la menace. |
| machineId | Chaîne | ID d’une entité de machine associée à l’alerte. |
| computerDnsName | Chaîne | nom complet de l’ordinateur. |
| aadTenantId | Chaîne | L’ID Microsoft Entra. |
| detectorId | Chaîne | ID du détecteur qui a déclenché l’alerte. |
| commentaires | Liste des commentaires d’alerte | L’objet Comment d’alerte contient : chaîne de commentaire, chaîne createdBy et date-heure createTime. |
| Évidence | Liste des preuves d’alerte | Preuve liée à l’alerte. Voir l’exemple ci-dessous. |
Remarque
Vers le 29 août 2022, les valeurs de détermination d’alerte précédemment prises en charge (Apt et SecurityPersonnel) seront déconseillées et ne seront plus disponibles via l’API.
Exemple de réponse pour obtenir une alerte unique :
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
Articles connexes
Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.