Lire en anglais

Partager via


Type de ressource d’alerte

S’applique à :

Notes

Pour obtenir l’expérience complète de l’API Alertes sur tous les produits Microsoft Defenders, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Notes

Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.

Conseil

Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Méthodes

Méthode Type renvoyé Description
Obtenir une alerte Alerte Obtenir un seul objet d’alerte
Répertorier les alertes Collecte d’alertes Lister la collection d’alertes
Mettre à jour une alerte Alerte Mettre à jour une alerte spécifique
Alertes de mise à jour par lot Mettre à jour un lot d’alertes
Créer une alerte Alerte Créer une alerte basée sur les données d’événement obtenues à partir de la chasse avancée
Lister les domaines associés Collection de domaines Lister les URL associées à l’alerte
Répertorier les fichiers associés Collection de fichiers Répertorier les entités de fichier associées à l’alerte
Lister les adresses IP associées Collection d’adresses IP Répertorier les adresses IP associées à l’alerte
Obtenir des machines associées Ordinateur Machine associée à l’alerte
Obtenir des utilisateurs associés Utilisateur L’utilisateur associé à l’alerte

Propriétés

Propriété Type Description
ID Chaîne ID d’alerte.
title String Titre de l’alerte.
description String Description de l’alerte.
alertCreationTime Nullable DateTimeOffset Date et heure (UTC) de la création de l’alerte.
lastEventTime Nullable DateTimeOffset Dernière occurrence de l’événement qui a déclenché l’alerte sur le même appareil.
firstEventTime Nullable DateTimeOffset Première occurrence de l’événement qui a déclenché l’alerte sur cet appareil.
lastUpdateTime Nullable DateTimeOffset Date et heure (utc) de la dernière mise à jour de l’alerte.
resolvedTime Nullable DateTimeOffset Date et heure auxquelles l’état de l’alerte a été remplacé par Résolu.
incidentId Nullable Long ID d’incident de l’alerte.
investigationId Nullable Long ID d’investigation lié à l’alerte.
investigationState Énumération nullable État actuel de l’enquête. Les valeurs possibles sont : Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartialRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Chaîne Propriétaire de l’alerte.
rbacGroupName Chaîne Nom du groupe d’appareils de contrôle d’accès en fonction du rôle.
mitreTechniques Chaîne ID technique Mitre Enterprise.
relatedUser Chaîne Détails de l’utilisateur lié à une alerte spécifique.
Sévérité Énum Gravité de l’alerte. Les valeurs possibles sont : UnSpecified, Informational, Low, Medium et High.
status Énum Spécifie l’état actuel de l’alerte. Les valeurs possibles sont : Unknown, New, InProgress et Resolved.
classification Énumération nullable Spécification de l’alerte. Les valeurs possibles sont , TruePositiveInformational, expected activityet FalsePositive.
détermination Énumération nullable Spécifie la détermination de l’alerte.

Les valeurs de détermination possibles pour chaque classification sont les suivantes :

  • Vrai positif : Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Malware (Programme malveillant), Phishing (Hameçonnage), Unwanted software (UnwantedSoftware) et Other (Autre).
  • Information, activité attendue :Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmUserActivity) : envisagez de modifier le nom d’énumération dans l’API publique en conséquence, et Other (Autre).
  • Faux positif :Not malicious (Nettoyer) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Not enough data to validate (InsufficientData) et Other (Autre).
  • category String Catégorie de l’alerte.
    detectionSource Chaîne Source de détection.
    threatFamilyName Chaîne Famille de menaces.
    threatName Chaîne Nom de la menace.
    machineId Chaîne ID d’une entité de machine associée à l’alerte.
    computerDnsName Chaîne nom complet de l’ordinateur.
    aadTenantId Chaîne L’ID Microsoft Entra.
    detectorId Chaîne ID du détecteur qui a déclenché l’alerte.
    commentaires Liste des commentaires d’alerte L’objet Comment d’alerte contient : chaîne de commentaire, chaîne createdBy et date-heure createTime.
    Évidence Liste des preuves d’alerte Preuve liée à l’alerte. Voir l’exemple ci-dessous.

    Notes

    Vers le 29 août 2022, les valeurs de détermination d’alerte précédemment prises en charge (Apt et SecurityPersonnel) seront déconseillées et ne seront plus disponibles via l’API.

    Exemple de réponse pour obtenir une alerte unique :

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn

    Conseil

    Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.