Type de ressource d’alerte
S’applique à :
Notes
Pour obtenir l’expérience complète de l’API Alertes sur tous les produits Microsoft Defenders, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Notes
Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.
Conseil
Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Méthode | Type renvoyé | Description |
---|---|---|
Obtenir une alerte | Alerte | Obtenir un seul objet d’alerte |
Répertorier les alertes | Collecte d’alertes | Lister la collection d’alertes |
Mettre à jour une alerte | Alerte | Mettre à jour une alerte spécifique |
Alertes de mise à jour par lot | Mettre à jour un lot d’alertes | |
Créer une alerte | Alerte | Créer une alerte basée sur les données d’événement obtenues à partir de la chasse avancée |
Lister les domaines associés | Collection de domaines | Lister les URL associées à l’alerte |
Répertorier les fichiers associés | Collection de fichiers | Répertorier les entités de fichier associées à l’alerte |
Lister les adresses IP associées | Collection d’adresses IP | Répertorier les adresses IP associées à l’alerte |
Obtenir des machines associées | Ordinateur | Machine associée à l’alerte |
Obtenir des utilisateurs associés | Utilisateur | L’utilisateur associé à l’alerte |
Propriété | Type | Description |
---|---|---|
ID | Chaîne | ID d’alerte. |
title | String | Titre de l’alerte. |
description | String | Description de l’alerte. |
alertCreationTime | Nullable DateTimeOffset | Date et heure (UTC) de la création de l’alerte. |
lastEventTime | Nullable DateTimeOffset | Dernière occurrence de l’événement qui a déclenché l’alerte sur le même appareil. |
firstEventTime | Nullable DateTimeOffset | Première occurrence de l’événement qui a déclenché l’alerte sur cet appareil. |
lastUpdateTime | Nullable DateTimeOffset | Date et heure (utc) de la dernière mise à jour de l’alerte. |
resolvedTime | Nullable DateTimeOffset | Date et heure auxquelles l’état de l’alerte a été remplacé par Résolu. |
incidentId | Nullable Long | ID d’incident de l’alerte. |
investigationId | Nullable Long | ID d’investigation lié à l’alerte. |
investigationState | Énumération nullable | État actuel de l’enquête. Les valeurs possibles sont : Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartialRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
assignedTo | Chaîne | Propriétaire de l’alerte. |
rbacGroupName | Chaîne | Nom du groupe d’appareils de contrôle d’accès en fonction du rôle. |
mitreTechniques | Chaîne | ID technique Mitre Enterprise. |
relatedUser | Chaîne | Détails de l’utilisateur lié à une alerte spécifique. |
Sévérité | Énum | Gravité de l’alerte. Les valeurs possibles sont : UnSpecified, Informational, Low, Medium et High. |
status | Énum | Spécifie l’état actuel de l’alerte. Les valeurs possibles sont : Unknown, New, InProgress et Resolved. |
classification | Énumération nullable | Spécification de l’alerte. Les valeurs possibles sont , TruePositive Informational, expected activity et FalsePositive . |
détermination | Énumération nullable | Spécifie la détermination de l’alerte. Les valeurs de détermination possibles pour chaque classification sont les suivantes : Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Malware (Programme malveillant), Phishing (Hameçonnage), Unwanted software (UnwantedSoftware) et Other (Autre). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmUserActivity) : envisagez de modifier le nom d’énumération dans l’API publique en conséquence, et Other (Autre). Not malicious (Nettoyer) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Not enough data to validate (InsufficientData) et Other (Autre). |
category | String | Catégorie de l’alerte. |
detectionSource | Chaîne | Source de détection. |
threatFamilyName | Chaîne | Famille de menaces. |
threatName | Chaîne | Nom de la menace. |
machineId | Chaîne | ID d’une entité de machine associée à l’alerte. |
computerDnsName | Chaîne | nom complet de l’ordinateur. |
aadTenantId | Chaîne | L’ID Microsoft Entra. |
detectorId | Chaîne | ID du détecteur qui a déclenché l’alerte. |
commentaires | Liste des commentaires d’alerte | L’objet Comment d’alerte contient : chaîne de commentaire, chaîne createdBy et date-heure createTime. |
Évidence | Liste des preuves d’alerte | Preuve liée à l’alerte. Voir l’exemple ci-dessous. |
Notes
Vers le 29 août 2022, les valeurs de détermination d’alerte précédemment prises en charge (Apt et SecurityPersonnel) seront déconseillées et ne seront plus disponibles via l’API.
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.