API Alertes
L’API Alertes vous fournit des informations sur les risques immédiats identifiés par Defender for Cloud Apps qui nécessitent une attention particulière. Les alertes peuvent résulter de modèles d’utilisation suspects ou de fichiers contenant du contenu qui enfreint la stratégie de l’entreprise.
Voici la liste des demandes prises en charge :
- Répertorier les alertes
- Fermer sans gravité
- Fermer le faux positif
- Fermer vrai positif
- Extraire l’alerte
- Marquer l’alerte comme lue
- Marquer l’alerte comme non lus
Le tableau suivant répertorie les demandes déconseillées comme obsolètes, ainsi que les demandes qui les remplacent.
Requête obsolète | Alternative |
---|---|
Ignorer en bloc | Fermer le faux positif |
Résolution en bloc | Fermer vrai positif |
Ignorer l’alerte | Fermer le faux positif |
Notes
Les demandes déconseillées ont été mappées à leurs alternatives pour éviter toute interruption. Toutefois, si vous utilisez des requêtes obsolètes dans votre environnement, nous vous recommandons de les mettre à jour avec leurs alternatives.
L’objet response définit les propriétés suivantes.
Propriété | Type | Description |
---|---|---|
_id | int | Identificateur du type d’alerte |
horodatage | long | Horodatage du déclenchement de l’alerte |
Entités | liste | Liste des entités liées à l’alerte |
title | string | Titre de l’alerte |
description | string | Description de l’alerte |
isMarkdown | bool | Indicateur pour indiquer si la description de l’alerte est déjà au format HTML |
statusValue | int | État de l’alerte. Les valeurs admises sont les suivantes : 0 : NON LU 1 : LIRE 2 : ARCHIVÉ |
severityValue | int | Gravité de l’alerte. Les valeurs admises sont les suivantes : 0 : FAIBLE 1 : MOYEN 2 : ÉLEVÉ 3 : INFORMATIONAL |
resolutionStatusValue | int | Status de l’alerte. Les valeurs admises sont les suivantes : 0 : OUVRIR 1 : REJETÉ 2 : RÉSOLU 3 : FALSE_POSITIVE 4 : BÉNIN 5 : TRUE_POSITIVE |
Histoires | liste | Catégorie de risque. Les valeurs admises sont les suivantes : 0 : THREAT_DETECTION 1 : PRIVILEGED_ACCOUNT_MONITORING 2 : CONFORMITÉ 3 : DLP 4 : DÉCOUVERTE 5 : SHARING_CONTROL 7 : ACCESS_CONTROL 8 : CONFIGURATION_MONITORING |
preuve | liste | Liste de brèves descriptions des parties main de l’alerte |
objectif | liste | Champ qui spécifie l’intention liée à la chaîne de destruction derrière l’alerte. Plusieurs valeurs peuvent être signalées dans ce champ. Les valeurs d’énumération d’intention suivent le modèle de matrice d’entreprise MITRE att@ck. Vous trouverez des conseils supplémentaires sur les différentes techniques qui composent chaque intention dans la documentation mitre. Les valeurs admises sont les suivantes : 0 : INCONNU 1 : PREATTACK 2 : INITIAL_ACCESS 3 : PERSISTANCE 4 : PRIVILEGE_ESCALATION 5 : DEFENSE_EVASION 6 : CREDENTIAL_ACCESS 7 : DÉCOUVERTE 8 : LATERAL_MOVEMENT 9 : EXÉCUTION 10 : COLLECTION 11 : EXFILTRATION 12 : COMMAND_AND_CONTROL 13 : IMPACT |
isPreview | bool | Alertes récemment publiées en disponibilité générale |
audits (facultatif) | liste | Liste des ID d’événement liés à l’alerte |
threatScore | int | Priorité d’investigation de l’utilisateur |
Pour plus d’informations sur le fonctionnement des filtres, consultez Filtres.
Le tableau suivant décrit les filtres pris en charge :
Filtre | Type | Opérateurs | Description |
---|---|---|---|
entity.entity | entité pk | eq,neq | Filtrer les alertes liées aux entités spécifiées. Exemple : [{ "id": "entity-id", "inst": 0 }] |
entity.ip | string | eq, neq | Filtrer les alertes liées aux adresses IP spécifiées |
entity.service | entier | eq, neq | Filtrer les alertes liées à l’appId de service spécifié, par exemple : 11770 |
entité. instance | entier | eq, neq | Filtrer les alertes liées aux instances spécifiées, par exemple : 11770, 1059065 |
entity.policy | string | eq, neq | Filtrer les alertes liées aux stratégies spécifiées |
entity.file | string | eq, neq | Filtrer les alertes liées au fichier spécifié |
alertOpen | valeur booléenne | eq | Si la valeur est true, retourne uniquement les alertes ouvertes, si la valeur est false, retourne uniquement les alertes fermées |
Sévérité | entier | eq, neq | Filtrer par gravité. Les valeurs admises sont les suivantes : 0 : Faible 1 : Moyen 2 : Élevé |
resolutionStatus | entier | eq, neq | Filtrez par résolution d’alerte status, les valeurs possibles sont les suivantes : 0 : Ouvrir 1 : Ignoré (status hérité) 2 : Résolu (status hérité) 3 : Fermé en tant que faux positif 4 : Fermé comme bénin 5 : Fermé comme vrai positif |
read | valeur booléenne | eq | Si la valeur est true, retourne uniquement les alertes en lecture, si la valeur est false, retourne les alertes non lues |
date | horodatage | lte, gte, range, lte_ndays, gte_ndays | Filtrer selon l’heure à laquelle une alerte a été déclenchée |
resolutionDate | horodatage | lte, gte, range | Filtrer selon l’heure à laquelle une alerte a été résolue |
risque | entier | eq, neq | Filtrer par risque |
alertType | entier | eq, neq | Filtrer par type d’alerte |
ID | string | eq, neq | Filtrer par ID d’alerte |
source | string | eq | Origine de l’alerte, intégrée ou stratégie |
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.