Type de ressource d’alerte

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Remarque

Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.

Pointe

Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

Méthodes

Méthode Type renvoyé Description
Obtenir une alerte Alerte Obtenez un objet d’alerte unique.
Répertorier les alertes Collection d’alertes Répertorier la collection d’alertes.
Mettre à jour une alerte Alerte Mettre à jour une alerte spécifique.
Alertes de mise à jour par lot Mettez à jour un lot d’alertes.
Créer une alerte Alerte Créez une alerte basée sur les données d’événement obtenues à partir d’Advanced Hunting.
Répertorier les domaines associés Collection de domaines Répertorie les URL associées à l’alerte.
Répertorier les fichiers associés Collection de fichiers Répertoriez les entités de fichier associées à l’alerte.
Répertorier les adresses IP associées Collection d’adresses IP Répertorie les adresses IP associées à l’alerte.
Obtenir les machines associées Ordinateur Ordinateur associé à l’alerte.
Obtenir des utilisateurs associés Utilisateur Utilisateur associé à l’alerte.

Propriétés

Propriété Type Description
id Chaîne ID d’alerte.
title String Titre de l’alerte.
description String Description de l’alerte.
alertCreationTime Nullable DateTimeOffset Date et heure (en UTC) de la création de l’alerte.
lastEventTime Nullable DateTimeOffset Dernière occurrence de l’événement qui a déclenché l’alerte sur le même appareil.
firstEventTime Nullable DateTimeOffset Première occurrence de l’événement qui a déclenché l’alerte sur cet appareil.
lastUpdateTime Nullable DateTimeOffset Date et heure (en UTC) de la dernière mise à jour de l’alerte.
resolvedTime Nullable DateTimeOffset Date et heure auxquelles l’état de l’alerte a été remplacé par « Résolu ».
incidentId Nullable Long ID d’incident de l’alerte.
investigationId Nullable Long ID d’investigation associé à l’alerte.
investigationState Énumération nullable État actuel de l’investigation. Les valeurs possibles sont : ' Unknown', 'Terminateed', 'SuccessfullyRemediated', 'Benign', 'Failed', 'PartiallyRemediated', 'Running', 'PendingApproval', 'PendingResource', 'PartiallyInvestigated', 'TerminateedByUser', 'TerminateedBySystem', 'Queued', 'InnerFailure', 'PreexistingAlert', 'UnsupportedOs', 'UnsupportedAlertType', 'SuppressedAlert'.
assignedTo Chaîne Propriétaire de l’alerte.
rbacGroupName Chaîne Nom du groupe d’appareils RBAC.
mitreTechniques Chaîne ID de technique Mitre Enterprise.
relatedUser Chaîne Détails de l’utilisateur liés à une alerte spécifique.
Sévérité Énum Gravité de l’alerte. Les valeurs possibles sont : « UnSpecified », « Informational », « Low », « Medium » et « High ».
status Énum Spécifie l’état actuel de l’alerte. Les valeurs possibles sont : « Unknown », « New », « InProgress » et « Resolved ».
classification Énumération nullable Spécification de l’alerte. Les valeurs possibles sont : TruePositive, Informational, expected activityet FalsePositive.
Détermination Énumération nullable Spécifie la détermination de l’alerte.

Les valeurs de détermination possibles pour chaque classification sont les suivantes :

  • Vrai positif : Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) et Other (Other).
  • Activité informationnelle et attendue :Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence et Other (Autre).
  • Faux positif :Not malicious (Clean) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence , Not enough data to validate (InsufficientData) et Other (Autre).
  • category String Catégorie de l’alerte.
    detectionSource Chaîne Source de détection.
    threatFamilyName Chaîne Famille de menaces.
    threatName Chaîne Nom de la menace.
    machineId Chaîne ID d’une entité de machine associée à l’alerte.
    computerDnsName Chaîne nom complet de l’ordinateur.
    aadTenantId Chaîne ID Azure Active Directory.
    detectorId Chaîne ID du détecteur qui a déclenché l’alerte.
    commentaires Liste des commentaires d’alerte L’objet Commentaire d’alerte contient : chaîne de commentaire, chaîne createdBy et heure de date createTime.
    Évidence Liste des preuves d’alerte Preuve liée à l’alerte. Voir l’exemple ci-dessous.

    Remarque

    Vers le 29 août 2022, les valeurs de détermination d’alerte précédemment prises en charge (« Apt » et « SecurityPersonnel ») seront déconseillées et ne seront plus disponibles via l’API.

    Exemple de réponse pour l’obtention d’une seule alerte :

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }