Microsoft Defender ATP
Microsoft Defender ATP est une plateforme unifiée pour la protection préventive, la détection après violation, l’investigation automatisée et la réponse. En savoir plus ici : http://aka.ms/wdatp
Ce connecteur est disponible dans les produits et régions suivants :
| Service | classe | Régions |
|---|---|---|
| Copilot Studio | Premium | Toutes les régions Power Automate à l’exception des éléments suivants : - China Cloud géré par 21Vianet |
| Applications logiques | Norme | Toutes les régions Logic Apps , à l’exception des suivantes : - régions de chine Azure |
| Power Apps | Premium | Toutes les régions Power Apps à l’exception des éléments suivants : - China Cloud géré par 21Vianet |
| Power Automate | Premium | Toutes les régions Power Automate à l’exception des éléments suivants : - China Cloud géré par 21Vianet |
| Contact | |
|---|---|
| Nom | Microsoft |
| URL | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
| Métadonnées du connecteur | |
|---|---|
| Éditeur | Microsoft |
| Site internet | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
| Politique de confidentialité | https://privacy.microsoft.com/privacystatement |
| Catégories | Sécurité ;Opérations informatiques |
Création d’une connexion
Le connecteur prend en charge les types d’authentification suivants :
| Par défaut | Paramètres de création de connexion. | Toutes les régions | Non partageable |
Faire défaut
Applicable : Toutes les régions
Paramètres de création de connexion.
Cette connexion n’est pas partageable. Si l’application power est partagée avec un autre utilisateur, un autre utilisateur est invité à créer une connexion explicitement.
Limitations
| Nom | Appels | Période de renouvellement |
|---|---|---|
| Appels d’API par connexion | 100 | 60 secondes |
Actions
| Actions - Annuler une seule action d’ordinateur |
Annuler une action d’ordinateur spécifique |
| Actions - Collecter le package d’investigation |
Collecter le package d’investigation à partir d’un ordinateur |
| Actions - Démarrer l’investigation automatisée sur une machine (préversion) |
Démarrer l’examen automatisé sur un ordinateur |
| Actions - Exécuter l’analyse antivirus |
Lancer Windows analyse antivirus Defender sur un ordinateur |
| Actions - Exécuter une réponse dynamique |
Exécuter des commandes d’API de réponse dynamique pour une seule machine |
| Actions - Isoler l’ordinateur |
Isoler un ordinateur du réseau |
| Actions - Lancer une investigation sur un ordinateur (à déprécier) |
Lancer une enquête sur un ordinateur |
| Actions - Machine unisolate |
Unisolate un ordinateur à partir d’un réseau |
| Actions - Obtenir la liste des actions de l’ordinateur |
Récupérer à partir de Windows Defender ATP les actions de machine les plus récentes |
| Actions - Obtenir la liste des enquêtes |
Récupérer à partir de Microsoft Defender ATP les enquêtes les plus récentes |
| Actions - Obtenir l’URI de téléchargement du package d’investigation |
Obtenir un URI qui permet le téléchargement d’un package d’investigation |
| Actions - Obtenir l’URI de téléchargement du résultat de la commande de réponse dynamique |
Obtenir l’URI de téléchargement des résultats pour une commande de réponse dynamique terminée |
| Actions - Obtenir une action d’ordinateur unique |
Récupérer à partir de Windows Defender ATP une action d’ordinateur spécifique |
| Actions - Obtenir une seule investigation |
Récupérer à partir de Microsoft Defender ATP une investigation spécifique |
| Actions - Restreindre l’exécution de l’application |
Restreindre l’exécution de toutes les applications sur l’ordinateur, à l’exception d’un ensemble prédéfini |
| Actions - Supprimer la restriction d’exécution de l’application |
Activer l’exécution de n’importe quelle application sur l’ordinateur |
| Activités de correction - Obtenir la liste des machines associées (préversion) |
Récupérer à partir de Windows Defender ATP les machines associées à une activité de correction spécifique |
| Alertes - Créer une alerte |
Créer une alerte basée sur un événement spécifique |
| Alertes - Mettre à jour une alerte |
Mettre à jour une alerte Windows Defender ATP |
| Alertes - Obtenir la liste des alertes |
Récupérer à partir de Windows Defender ATP les alertes les plus récentes |
| Alertes - Obtenir une alerte unique |
Récupérer à partir de Windows Defender ATP une alerte spécifique |
| Domaines - Obtenir les statistiques pour le nom de domaine donné |
Récupérer à partir de Windows statistiques Defender ATP liées à un nom de domaine donné |
| Fichiers - Obtenir les statistiques du fichier donné |
Récupérer à partir de Windows statistiques Defender ATP pour le fichier donné dans un fichier donné par identificateur Sha1 ou Sha256 |
| Ips - Obtenir les statistiques de l’adresse IP donnée |
Récupérez à partir de Windows statistiques Defender ATP relatives à une adresse IP donnée , donnée au format ipv4 ou ipv6. |
| Machines - Baliser l’ordinateur |
Ajouter ou supprimer une balise à/partir d’un ordinateur |
| Ordinateurs - Obtenir la liste des machines |
Récupérer à partir de Windows Defender ATP les machines les plus récentes |
| Ordinateurs - Obtenir un seul ordinateur |
Récupérer à partir de Windows Defender ATP un ordinateur spécifique |
|
Remediation |
Récupérer à partir de Windows Defender ATP une activité de correction spécifique |
| Repérage avancé (déconseillé) |
Exécutez une requête personnalisée sur Microsoft Defender for Endpoint données. Cette action prend uniquement en charge les requêtes sur les tables MDE. Cette action est déconseillée et sera retirée le 1er février 2027. Migrez vers le API Microsoft Graph Security. Pour obtenir des conseils sur la migration, consultez : https://learn.microsoft.com/en-us/graph/api/resources/security-api-overview?view=graph-rest-1.0#powerplatformflow-migrationpowerapps-power-automate-logic-apps |
| Tâches de correction - Obtenir la liste des activités de correction (préversion) |
Récupérer à partir de Windows Defender ATP les activités de remdiation |
Actions - Annuler une seule action d’ordinateur
Annuler une action d’ordinateur spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’action de l’ordinateur
|
Machine Action ID | True | string |
Identificateur de l’action de l’ordinateur à annuler |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’annulation de l’action de l’ordinateur |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Collecter le package d’investigation
Collecter le package d’investigation à partir d’un ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à partir duquel collecter l’enquête |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à la collection |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Démarrer l’investigation automatisée sur une machine (préversion)
Démarrer l’examen automatisé sur un ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à examiner |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’enquête |
Retours
Entité d’investigation unique
- Examen
- Investigation
Actions - Exécuter l’analyse antivirus
Lancer Windows analyse antivirus Defender sur un ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à analyser |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à la demande d’analyse |
|
Type d’analyse
|
ScanType | True | string |
Type d’analyse à effectuer. Les valeurs autorisées sont « Quick » ou « Full » |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Exécuter une réponse dynamique
Exécuter des commandes d’API de réponse dynamique pour une seule machine
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur sur lequel exécuter une session de réponse en direct |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’isolation |
|
Type de commande
|
type | True | string |
Type de la commande |
|
Clé de paramètre de commande
|
key | string |
Clé du paramètre de commande |
|
|
Valeur du paramètre de commande
|
value | string |
Valeur du paramètre de commande |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Isoler l’ordinateur
Isoler un ordinateur du réseau
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à isoler |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’isolation |
|
Type d’isolation
|
IsolationType | True | string |
Type de l’isolation. Les valeurs autorisées sont « Full » (pour l’isolation complète) ou « Sélectif » (pour restreindre uniquement l’ensemble limité d’applications à accéder au réseau) |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Lancer une investigation sur un ordinateur (à déprécier)
Lancer une enquête sur un ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à examiner |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’enquête |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID d’investigation
|
value | string |
ID de l’enquête |
Actions - Machine unisolate
Unisolate un ordinateur à partir d’un réseau
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de la machine à unisolate |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’unisolation |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Obtenir la liste des actions de l’ordinateur
Récupérer à partir de Windows Defender ATP les actions de machine les plus récentes
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Filtre les résultats
|
$filter | string |
Filtre les résultats à l’aide de la syntaxe OData. |
|
|
Sélectionne les propriétés
|
$select | string |
Sélectionne les propriétés à inclure dans la réponse, par défaut sur tous. |
|
|
Trie les résultats
|
$orderby | string |
Trie les résultats. |
|
|
Retourne les premiers résultats
|
$top | integer |
Retourne uniquement les n premiers résultats. |
|
|
Ignore les premiers résultats
|
$skip | integer |
Ignore les premiers n résultats. |
|
|
Inclut le nombre
|
$count | boolean |
Inclut le nombre de résultats correspondants dans la réponse. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre d’actions de l’ordinateur
|
@odata.count | integer |
Nombre d’actions d’ordinateur disponibles par cette requête |
|
Machine Actions
|
value | array of MachineAction |
Actions de l’ordinateur retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Actions - Obtenir la liste des enquêtes
Récupérer à partir de Microsoft Defender ATP les enquêtes les plus récentes
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Filtre les résultats
|
$filter | string |
Filtre les résultats à l’aide de la syntaxe OData. |
|
|
Sélectionne les propriétés
|
$select | string |
Sélectionne les propriétés à inclure dans la réponse, par défaut sur tous. |
|
|
Trie les résultats
|
$orderby | string |
Trie les résultats. |
|
|
Retourne les premiers résultats
|
$top | integer |
Retourne uniquement les n premiers résultats. |
|
|
Ignore les premiers résultats
|
$skip | integer |
Ignore les premiers n résultats. |
|
|
Inclut le nombre
|
$count | boolean |
Inclut le nombre de résultats correspondants dans la réponse. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre d’enquêtes
|
@odata.count | integer |
Nombre d’enquêtes disponibles par cette requête |
|
Enquêtes
|
value | array of Investigation |
Les enquêtes retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Actions - Obtenir l’URI de téléchargement du package d’investigation
Obtenir un URI qui permet le téléchargement d’un package d’investigation
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID d’action
|
Machine action ID | True | string |
ID de la collection de packages d’investigation |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
URI SAP du package
|
value | string |
URI SAP du package d’investigation |
Actions - Obtenir l’URI de téléchargement du résultat de la commande de réponse dynamique
Obtenir l’URI de téléchargement des résultats pour une commande de réponse dynamique terminée
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’action de l’ordinateur
|
Machine Action ID | True | string |
Identificateur de l’action de l’ordinateur |
|
Index de la commande live response
|
Command Index | True | integer |
Index de la commande live response pour obtenir l’URI de téléchargement des résultats pour |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
URI de téléchargement
|
value | string |
URI de téléchargement de la commande live response |
Actions - Obtenir une action d’ordinateur unique
Récupérer à partir de Windows Defender ATP une action d’ordinateur spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’action de l’ordinateur
|
Machine Action ID | True | string |
Identificateur de l’action de l’ordinateur à récupérer |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Obtenir une seule investigation
Récupérer à partir de Microsoft Defender ATP une investigation spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’enquête
|
Investigation ID | True | string |
Identificateur de l’enquête à récupérer |
Retours
Entité d’investigation unique
- Examen
- Investigation
Actions - Restreindre l’exécution de l’application
Restreindre l’exécution de toutes les applications sur l’ordinateur, à l’exception d’un ensemble prédéfini
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à restreindre |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à la restriction |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Supprimer la restriction d’exécution de l’application
Activer l’exécution de n’importe quelle application sur l’ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de la machine à annuler |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à la suppression de restriction |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Activités de correction - Obtenir la liste des machines associées (préversion)
Récupérer à partir de Windows Defender ATP les machines associées à une activité de correction spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’activité de correction
|
RemediationID | True | string |
Identificateur de l’activité de correction à récupérer |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre de machines
|
@odata.count | integer |
Nombre d’ordinateurs disponibles par cette requête |
|
Machines
|
value | array of Machine |
Les machines retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Alertes - Créer une alerte
Créer une alerte basée sur un événement spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
machineId | True | string |
ID de l’ordinateur sur lequel l’événement a été identifié |
|
ID du rapport
|
reportId | True | integer |
ID de rapport de l’événement |
|
Heure de l’événement
|
eventTime | True | string |
Heure de l’événement sous forme de chaîne, par exemple 2018-08-03T16:45:21.7115183Z |
|
Niveau de gravité
|
severity | True | string |
Gravité de l’alerte. |
|
Catégorie
|
category | True | string |
Catégorie de l’alerte |
|
Titre
|
title | True | string |
Titre de l’alerte |
|
Descriptif
|
description | True | string |
Description de l’alerte |
|
Action recommandée
|
recommendedAction | True | string |
Action recommandée pour l’alerte |
Retours
Entité d’alerte unique
- Alerte
- Alert
Alertes - Mettre à jour une alerte
Mettre à jour une alerte Windows Defender ATP
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’alerte
|
Alert ID | True | string |
Identificateur de l’alerte à mettre à jour |
|
Statut
|
status | string |
Statut de l’alerte. L’un des éléments « Nouveau », « InProgress » et « Résolu » |
|
|
Affectée à
|
assignedTo | string |
Personne à attribuer l’alerte à |
|
|
Classification
|
classification | string |
Classification de l’alerte. L’un des « Inconnus », « FalsePositive », « TruePositive » |
|
|
Détermination
|
determination | string |
Détermination de l’alerte. Un des éléments « NotAvailable », « Apt », « Malware », « SecurityPersonnel », « SecurityTesting », « UnwantedSoftware », « Other » |
Retours
Entité d’alerte unique
- Alerte
- Alert
Alertes - Obtenir la liste des alertes
Récupérer à partir de Windows Defender ATP les alertes les plus récentes
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Développe les entités
|
$expand | string |
Développe les entités associées en ligne. |
|
|
Filtre les résultats
|
$filter | string |
Filtre les résultats à l’aide de la syntaxe OData. |
|
|
Sélectionne les propriétés
|
$select | string |
Sélectionne les propriétés à inclure dans la réponse, par défaut sur tous. |
|
|
Trie les résultats
|
$orderby | string |
Trie les résultats. |
|
|
Retourne les premiers résultats
|
$top | integer |
Retourne uniquement les n premiers résultats. |
|
|
Ignore les premiers résultats
|
$skip | integer |
Ignore les premiers n résultats. |
|
|
Inclut le nombre
|
$count | boolean |
Inclut le nombre de résultats correspondants dans la réponse. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre d’alertes
|
@odata.count | integer |
Nombre d’alertes disponibles par cette requête |
|
Alerts
|
value | array of Alert |
Alertes retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Alertes - Obtenir une alerte unique
Récupérer à partir de Windows Defender ATP une alerte spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’alerte
|
Alert ID | True | string |
Identificateur de l’alerte à récupérer |
Retours
Entité d’alerte unique
- Alerte
- Alert
Domaines - Obtenir les statistiques pour le nom de domaine donné
Récupérer à partir de Windows statistiques Defender ATP liées à un nom de domaine donné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Nom de domaine
|
Domain Name | True | string |
Nom de domaine |
|
La période de regard en heures à examiner, la valeur par défaut est de 24 heures.
|
lookBackHours | integer |
La période de regard en heures à examiner, la valeur par défaut est de 24 heures. |
Retours
Entité de statistiques d’adresses IP unique
- Statistiques de domaine
- DomainStats
Fichiers - Obtenir les statistiques du fichier donné
Récupérer à partir de Windows statistiques Defender ATP pour le fichier donné dans un fichier donné par identificateur Sha1 ou Sha256
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Identificateur de fichier - Sha1 ou Sha256
|
File ID | True | string |
Identificateur de fichier - Sha1 ou Sha256 |
|
La période de regard en heures à examiner, la valeur par défaut est de 24 heures.
|
lookBackHours | integer |
La période de regard en heures à examiner, la valeur par défaut est de 24 heures. |
Retours
Entité de statistiques de fichier unique
- Statistiques de fichier
- FileStats
Ips - Obtenir les statistiques de l’adresse IP donnée
Récupérez à partir de Windows statistiques Defender ATP relatives à une adresse IP donnée , donnée au format ipv4 ou ipv6.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Adresse IP
|
Ip Address | True | string |
Adresse IP |
|
La période de regard en heures à examiner, la valeur par défaut est de 24 heures.
|
lookBackHours | integer |
La période de regard en heures à examiner, la valeur par défaut est de 24 heures. |
Retours
Entité de statistiques d’adresses IP unique
- Statistiques ip
- IpStats
Machines - Baliser l’ordinateur
Ajouter ou supprimer une balise à/partir d’un ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur auquel la balise doit être ajoutée ou supprimée |
|
Valeur
|
Value | True | string |
Balise à ajouter ou supprimer |
|
Action
|
Action | True | string |
L’action à accomplir. La valeur doit être l’une des valeurs « Add » (pour ajouter une balise) ou « Remove » (pour supprimer une balise) |
Retours
Une seule entité d’ordinateur
- Machine
- Machine
Ordinateurs - Obtenir la liste des machines
Récupérer à partir de Windows Defender ATP les machines les plus récentes
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Filtre les résultats
|
$filter | string |
Filtre les résultats à l’aide de la syntaxe OData. |
|
|
Sélectionne les propriétés
|
$select | string |
Sélectionne les propriétés à inclure dans la réponse, par défaut sur tous. |
|
|
Trie les résultats
|
$orderby | string |
Trie les résultats. |
|
|
Retourne les premiers résultats
|
$top | integer |
Retourne uniquement les n premiers résultats. |
|
|
Ignore les premiers résultats
|
$skip | integer |
Ignore les premiers n résultats. |
|
|
Inclut le nombre
|
$count | boolean |
Inclut le nombre de résultats correspondants dans la réponse. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre de machines
|
@odata.count | integer |
Nombre d’ordinateurs disponibles par cette requête |
|
Machines
|
value | array of Machine |
Les machines retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Ordinateurs - Obtenir un seul ordinateur
Récupérer à partir de Windows Defender ATP un ordinateur spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
Identificateur de l’ordinateur à récupérer |
Retours
Une seule entité d’ordinateur
- Machine
- Machine
RemediationActivities - Obtenir une activité de correction unique (préversion)
Récupérer à partir de Windows Defender ATP une activité de correction spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’activité de correction
|
RemediationID | True | string |
Identificateur de l’activité de correction à récupérer |
Retours
Entité d’activité de correction unique
- Activité de correction
- RemediationActivity
Repérage avancé (déconseillé)
Exécutez une requête personnalisée sur Microsoft Defender for Endpoint données. Cette action prend uniquement en charge les requêtes sur les tables MDE. Cette action est déconseillée et sera retirée le 1er février 2027. Migrez vers le API Microsoft Graph Security. Pour obtenir des conseils sur la migration, consultez : https://learn.microsoft.com/en-us/graph/api/resources/security-api-overview?view=graph-rest-1.0#powerplatformflow-migrationpowerapps-power-automate-logic-apps
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Query
|
Query | True | string |
Requête à exécuter |
Retours
Tâches de correction - Obtenir la liste des activités de correction (préversion)
Récupérer à partir de Windows Defender ATP les activités de remdiation
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Filtre les résultats
|
$filter | string |
Filtre les résultats à l’aide de la syntaxe OData. |
|
|
Sélectionne les propriétés
|
$select | string |
Sélectionne les propriétés à inclure dans la réponse, par défaut sur tous. |
|
|
Trie les résultats
|
$orderby | string |
Trie les résultats. |
|
|
Retourne les premiers résultats
|
$top | integer |
Retourne uniquement les n premiers résultats. |
|
|
Ignore les premiers résultats
|
$skip | integer |
Ignore les premiers n résultats. |
|
|
Inclut le nombre
|
$count | boolean |
Inclut le nombre de résultats correspondants dans la réponse. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre d’activités de correction
|
@odata.count | integer |
Nombre d’activités de correction par cette requête |
|
Activités de correction
|
value | array of RemediationActivity |
Activités de correction retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Déclencheurs
| Déclencheurs - Déclencher quand une nouvelle alerte WDATP se produit |
S’abonner aux alertes Windows Defender ATP |
| Déclencheurs lorsqu’une nouvelle activité de correction est créée (préversion) |
Déclencheurs lors de la création d’une nouvelle activité de correction |
Déclencheurs - Déclencher quand une nouvelle alerte WDATP se produit
Déclencheurs lorsqu’une nouvelle activité de correction est créée (préversion)
Déclencheurs lors de la création d’une nouvelle activité de correction
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre d’activités de correction
|
@odata.count | integer |
Nombre d’activités de correction par cette requête |
|
Activités de correction
|
value | array of RemediationActivity |
Activités de correction retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Définitions
Alerte
Entité d’alerte unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID de l’alerte
|
id | string |
Identificateur d’alerte |
|
ID de l’incident
|
incidentId | integer |
ID de l’incident |
|
ID d’investigation
|
investigationId | integer |
ID de l’enquête |
|
Gravité de l’alerte
|
severity | string |
Gravité de l’alerte |
|
Statut
|
status | string |
État de l’alerte |
|
Descriptif
|
description | string |
Description de l’alerte |
|
Heure de création d’alerte
|
alertCreationTime | date-time |
Heure à laquelle l’alerte a été créée |
|
Catégorie
|
category | string |
Catégorie d’alerte |
|
Titre
|
title | string |
Titre de l’alerte |
|
Nom de la famille de menaces
|
threatFamilyName | string |
Nom de la famille de menaces |
|
Source de détection
|
detectionSource | string |
Source de détection |
|
Classification
|
classification | string |
Classification de l’alerte |
|
Détermination
|
determination | string |
Détermination de l’alerte |
|
Affectée à
|
assignedTo | string |
Personne à laquelle l’alerte a été attribuée |
|
Heure résolue
|
resolvedTime | string |
Heure à laquelle l’alerte a été résolue |
|
Heure de la dernière événement
|
lastEventTime | date-time |
Heure du dernier événement lié à l’alerte |
|
Première heure de l’événement
|
firstEventTime | date-time |
Heure du premier événement lié à l’alerte |
|
ID de l’ordinateur
|
machineId | string |
Identificateur de l’ordinateur lié à l’alerte |
Machine
Une seule entité d’ordinateur
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID de l’ordinateur
|
id | string |
Identificateur de l’ordinateur |
|
Nom de l'ordinateur
|
computerDnsName | string |
Nom de l’ordinateur |
|
Première vue
|
firstSeen | date-time |
Heure du premier événement reçu par l’ordinateur |
|
Vu pour la dernière fois
|
lastSeen | date-time |
Heure du dernier événement reçu par l’ordinateur |
|
Plateforme du système d’exploitation
|
osPlatform | string |
Plateforme de système d’exploitation de la machine |
|
Version du système d’exploitation
|
osVersion | string |
Version du système d’exploitation de l’ordinateur |
|
Nom du produit système
|
systemProductName | date-time |
systemProductName |
|
Dernière adresse IP
|
lastIpAddress | string |
Dernière adresse IP de l’ordinateur |
|
Dernière adresse IP externe
|
lastExternalIpAddress | string |
Dernière adresse IP externe de l’ordinateur |
|
Version de l’agent
|
agentVersion | string |
Version de l’agent |
|
Build du système d’exploitation
|
osBuild | integer |
Build du système d’exploitation de l’ordinateur |
|
Status d’intégrité
|
healthStatus | string |
État d’intégrité de l’ordinateur |
|
Joint Microsoft Entra ID
|
isAadJoined | boolean |
Indicateur indiquant si la machine est jointe à Microsoft Entra ID |
|
Étiquettes d’ordinateur
|
machineTags | array of string |
Balises associées à la machine |
|
ID de groupe RBAC
|
rbacGroupId | integer |
ID du groupe RBAC auquel appartient la machine |
|
Nom du groupe RBAC
|
rbacGroupName | string |
Nom du groupe RBAC auquel appartient la machine |
|
Score de risque
|
riskScore | string |
Score indiquant la quantité de la machine à risque |
|
ID d’appareil Microsoft Entra ID
|
aadDeviceId | string |
aadDeviceId |
RemediationActivity
Entité d’activité de correction unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID d’activité de correction
|
id | string |
Identificateur d’activité de correction |
|
Titre de l’activité de correction
|
title | string |
Titre de l’activit de correction |
|
Créé le
|
createdOn | date-time |
Heure de création de l’activité de correction |
|
État de la dernière modification sur
|
statusLastModifiedOn | date-time |
Heure de la dernière modification de l’état |
|
ID du créateur
|
requesterId | string |
ID du créateur de l’activité de correction |
|
E-mail créateur
|
requesterEmail | string |
Adresse e-mail du créateur de l’activité de correction |
|
Statut
|
status | string |
l’état de l’activité de correction |
|
Descriptif
|
description | string |
Description de l’activité de correction |
|
Composant associé
|
relatedComponent | string |
Composant associé à l’activité de correction |
|
Appareils cibles
|
targetDevices | integer |
Nombre de machines cibles d’activité de correction |
|
Noms de groupes Rbac
|
rbacGroupNames | array of string |
Noms de groupe rbac associés à l’activité de correction |
|
Appareils fixes
|
fixedDevices | integer |
Nombre de machines fixes de l’activité de correction |
|
notes de créateur
|
requesterNotes | string |
Notes du créateur de l’activité de remeidation |
|
Échéance
|
dueOn | date-time |
Délai d’échéance de l’activité de correction |
|
Catégorie
|
category | string |
catégorie d’activité de correction |
|
Type de correction de l’impact sur la productivité
|
productivityImpactRemediationType | string |
le type d’impact sur la productivité de la correction |
|
Priority
|
priority | string |
Priorité de l’activité de correction |
|
Méthode d’achèvement
|
completionMethod | string |
Méthode d’achèvement de l’activité de correction |
|
ID completer
|
completerId | string |
ID de l’objet completer de l’activité de correction |
|
E-mail completer
|
completerEmail | string |
Adresse e-mail de l’activité de correction |
|
ID de configuration de sécurité
|
scid | string |
ID de configuration de la sécurité de l’activité de correction |
|
Type
|
type | string |
Type d’activité de correction |
|
ID de produit
|
productId | string |
ID de produit |
|
ID du fournisseur
|
vendorId | string |
ID du fournisseur |
|
ID de nom
|
nameId | string |
ID de nom |
|
Version recommandée
|
recommendedVersion | string |
Version recommandée |
|
Fournisseur recommandé
|
recommendedVendor | string |
Fournisseur recommandé |
|
Programme recommandé
|
recommendedProgram | string |
Programme recommandé |
|
Informations de référence sur les recommandations
|
RecommendationReference | string |
Informations de référence sur les recommandations |
MachineAction
Entité d’action d’un ordinateur unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID d’action
|
id | string |
ID de l’action de l’ordinateur |
|
Type d'action
|
type | string |
Type de l’action (par exemple , 'Isolate', 'CollectInvestigationPackage', ...) |
|
Demandeur
|
requestor | string |
Personne qui a demandé l’action de l’ordinateur |
|
Commentaire
|
requestorComment | string |
Commentaire associé à l’action de l’ordinateur |
|
Statut
|
status | string |
État de l’action de l’ordinateur (par exemple, « InProgress ») |
|
ID
|
machineId | string |
ID de l’ordinateur sur lequel l’action a été effectuée |
|
Date de création
|
creationDateTimeUtc | date-time |
Heure UTC à laquelle l’action a été demandée |
|
Heure de la dernière mise à jour
|
lastUpdateDateTimeUtc | date-time |
Heure UTC de la dernière mise à jour de l’action |
|
Commands
|
commands | array of LiveResponseCommandStatus |
Commandes d’action de l’ordinateur de réponse dynamique |
LiveResponseCommandStatus
Une seule commande dans l’entité d’action de machine Live Response
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Index de commande
|
index | integer |
Index de la commande |
|
Heure de début de l’exécution de la commande
|
startTime | date-time |
Heure de début de l’exécution de commande UTC |
|
Heure de fin de l’exécution de la commande
|
endTime | date-time |
Heure de fin de l’exécution de commande UTC |
|
État de la commande
|
commandStatus | string |
État de l’exécution de la commande (par exemple, « Terminé ») |
|
Erreurs de commande
|
errors | array of string |
Liste des erreurs d’exécution de commande. Si aucune erreur n’a été signalée, il s’agit d’une liste vide. |
|
commande
|
command | LiveResponseCommand |
LiveResponseCommand
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Type de commande
|
type | string |
Type de la commande |
|
Paramètres de commande
|
params | array of object |
Liste des paramètres de commande. |
|
Clé de paramètre de commande
|
params.key | string |
Clé du paramètre de commande |
|
Valeur du paramètre de commande
|
params.value | string |
Valeur du paramètre de commande |
FileStats
Entité de statistiques de fichier unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Sha1
|
sha1 | string |
Sha1 du fichier |
|
Prévalence mondiale
|
globallyPrevalence | integer |
Prévalence globale du fichier. |
|
Premier observé globalement
|
globalFirstObserved | date-time |
La première fois que le fichier a été observé globalement. |
|
Dernière observation à l’échelle mondiale
|
globalLastObserved | date-time |
Dernière fois que le fichier a été observé. |
|
Prévalence de l’organisation
|
organizationPrevalence | integer |
Prévalence du fichier au sein de l’organisation |
|
Organisation première observée
|
orgFirstSeen | date-time |
La première fois que le fichier a été observé dans l’organisation. |
|
Dernière observation de l’organisation
|
orgLastSeen | date-time |
La dernière fois que le fichier a été observé dans l’organisation. |
|
Noms de fichiers principaux
|
topFileNames | array of string |
Noms de fichiers présentés par ce fichier. |
IpStats
Entité de statistiques d’adresses IP unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Adresse IP
|
ipAddress | string |
Adresse IP |
|
Prévalence de l’organisation
|
organizationPrevalence | integer |
Prévalence de l’adresse IP au sein de l’organisation |
|
Organisation première observée
|
orgFirstSeen | date-time |
La première fois que l’adresse IP a été observée dans l’organisation. |
|
Dernière observation de l’organisation
|
orgLastSeen | date-time |
La dernière fois que l’adresse IP a été observée dans l’organisation. |
DomainStats
Entité de statistiques d’adresses IP unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Host
|
host | string |
Hôte de domaine. |
|
Prévalence de l’organisation
|
organizationPrevalence | integer |
Prévalence du domaine au sein de l’organisation |
|
Organisation première observée
|
orgFirstSeen | date-time |
La première fois que le domaine a été observé dans l’organisation. |
|
Dernière observation de l’organisation
|
orgLastSeen | date-time |
La dernière fois que le domaine a été observé dans l’organisation. |
Examen
Entité d’investigation unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID
|
id | string |
ID de l’enquête |
|
État de l’enquête
|
state | string |
État de l’enquête (par exemple, « Bénin », « En cours d’exécution », etc.) |
|
Détails de l’état
|
statusDetails | string |
Détails sur l’état |
|
Nom de l'ordinateur
|
computerDnsName | string |
Nom de l’ordinateur |
|
ID de l’ordinateur
|
machineId | string |
ID de l’ordinateur |
|
Heure de début
|
startTime | date-time |
Heure UTC à laquelle l’enquête a été lancée |
|
Heure de fin
|
endTime | date-time |
Heure UTC à laquelle l’enquête a été effectuée |
WebHookNotification
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID d’alerte
|
id | string | |
|
ID de l’ordinateur
|
machineId | string |