Lire en anglais

Partager via


API Alertes

L’API Alertes vous fournit des informations sur les risques immédiats identifiés par Defender for Cloud Apps qui nécessitent une attention particulière. Les alertes peuvent résulter de modèles d’utilisation suspects ou de fichiers contenant du contenu qui enfreint la stratégie de l’entreprise.

Voici la liste des demandes prises en charge :

Demandes déconseillées

Le tableau suivant répertorie les demandes déconseillées comme obsolètes, ainsi que les demandes qui les remplacent.

Requête obsolète Alternative
Ignorer en bloc Fermer le faux positif
Résolution en bloc Fermer vrai positif
Ignorer l’alerte Fermer le faux positif

Notes

Les demandes déconseillées ont été mappées à leurs alternatives pour éviter toute interruption. Toutefois, si vous utilisez des requêtes obsolètes dans votre environnement, nous vous recommandons de les mettre à jour avec leurs alternatives.

Propriétés

L’objet response définit les propriétés suivantes.

Propriété Type Description
_id int Identificateur du type d’alerte
horodatage long Horodatage du déclenchement de l’alerte
Entités liste Liste des entités liées à l’alerte
title string Titre de l’alerte
description string Description de l’alerte
isMarkdown bool Indicateur pour indiquer si la description de l’alerte est déjà au format HTML
statusValue int État de l’alerte. Les valeurs admises sont les suivantes :

0 : NON LU
1 : LIRE
2 : ARCHIVÉ
severityValue int Gravité de l’alerte. Les valeurs admises sont les suivantes :

0 : FAIBLE
1 : MOYEN
2 : ÉLEVÉ
3 : INFORMATIONAL
resolutionStatusValue int Status de l’alerte. Les valeurs admises sont les suivantes :

0 : OUVRIR
1 : REJETÉ
2 : RÉSOLU
3 : FALSE_POSITIVE
4 : BÉNIN
5 : TRUE_POSITIVE
Histoires liste Catégorie de risque. Les valeurs admises sont les suivantes :

0 : THREAT_DETECTION
1 : PRIVILEGED_ACCOUNT_MONITORING
2 : CONFORMITÉ
3 : DLP
4 : DÉCOUVERTE
5 : SHARING_CONTROL
7 : ACCESS_CONTROL
8 : CONFIGURATION_MONITORING
preuve liste Liste de brèves descriptions des parties main de l’alerte
objectif liste Champ qui spécifie l’intention liée à la chaîne de destruction derrière l’alerte. Plusieurs valeurs peuvent être signalées dans ce champ. Les valeurs d’énumération d’intention suivent le modèle de matrice d’entreprise MITRE att@ck. Vous trouverez des conseils supplémentaires sur les différentes techniques qui composent chaque intention dans la documentation mitre.
Les valeurs admises sont les suivantes :

0 : INCONNU
1 : PREATTACK
2 : INITIAL_ACCESS
3 : PERSISTANCE
4 : PRIVILEGE_ESCALATION
5 : DEFENSE_EVASION
6 : CREDENTIAL_ACCESS
7 : DÉCOUVERTE
8 : LATERAL_MOVEMENT
9 : EXÉCUTION
10 : COLLECTION
11 : EXFILTRATION
12 : COMMAND_AND_CONTROL
13 : IMPACT
isPreview bool Alertes récemment publiées en disponibilité générale
audits (facultatif) liste Liste des ID d’événement liés à l’alerte
threatScore int Priorité d’investigation de l’utilisateur

Filtres

Pour plus d’informations sur le fonctionnement des filtres, consultez Filtres.

Le tableau suivant décrit les filtres pris en charge :

Filtre Type Opérateurs Description
entity.entity entité pk eq,neq Filtrer les alertes liées aux entités spécifiées. Exemple : [{ "id": "entity-id", "inst": 0 }]
entity.ip string eq, neq Filtrer les alertes liées aux adresses IP spécifiées
entity.service entier eq, neq Filtrer les alertes liées à l’appId de service spécifié, par exemple : 11770
entité. instance entier eq, neq Filtrer les alertes liées aux instances spécifiées, par exemple : 11770, 1059065
entity.policy string eq, neq Filtrer les alertes liées aux stratégies spécifiées
entity.file string eq, neq Filtrer les alertes liées au fichier spécifié
alertOpen valeur booléenne eq Si la valeur est true, retourne uniquement les alertes ouvertes, si la valeur est false, retourne uniquement les alertes fermées
Sévérité entier eq, neq Filtrer par gravité. Les valeurs admises sont les suivantes :

0 : Faible
1 : Moyen
2 : Élevé
resolutionStatus entier eq, neq Filtrez par résolution d’alerte status, les valeurs possibles sont les suivantes :

0 : Ouvrir
1 : Ignoré (status hérité)
2 : Résolu (status hérité)
3 : Fermé en tant que faux positif
4 : Fermé comme bénin
5 : Fermé comme vrai positif
read valeur booléenne eq Si la valeur est true, retourne uniquement les alertes en lecture, si la valeur est false, retourne les alertes non lues
date horodatage lte, gte, range, lte_ndays, gte_ndays Filtrer selon l’heure à laquelle une alerte a été déclenchée
resolutionDate horodatage lte, gte, range Filtrer selon l’heure à laquelle une alerte a été résolue
risque entier eq, neq Filtrer par risque
alertType entier eq, neq Filtrer par type d’alerte
ID string eq, neq Filtrer par ID d’alerte
source string eq Origine de l’alerte, intégrée ou stratégie

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.