API של התראות
ה- API של התראות מספק לך מידע אודות סיכונים מיידיים המזוהים על-ידי יישומי ענן של Defender הדורשים תשומת לב. התראות עשויות לגרום לדפוסי שימוש חשודים או מקבצים המכילים תוכן שמפר את מדיניות החברה.
להלן פירוט הבקשות הנתמכות:
- רשימה של התראות
- סגור טוב-לב
- סגור חיובית מוטעית
- סגור חיובי אמיתי
- התראת הבאת
- סמן התראה כהתראה שנקראה
- סמן התראה כהתראה שלא נקראה
בקשות שהופחתו
הטבלה הבאה מפרטת את הבקשות שהופחתו כמיושן ואת הבקשות שמחליפות אותן.
| בקשה מיושנת | אלטרנטיבי |
|---|---|
| ביטול בצובר | סגור חיובית מוטעית |
| פתרון בצובר | סגור חיובי אמיתי |
| התעלם מההתראה | סגור חיובית מוטעית |
הערה
הבקשות שהופחתו מופו לפריטים החלופיים שלהן כדי למנוע הפרעות. עם זאת, אם אתה משתמש בבקשות מיושונות בסביבה שלך, מומלץ לעדכן אותן להגדרות החלופיות שלהן.
מאפיינים
אובייקט התגובה מגדיר את המאפיינים הבאים.
| מאפיין | סוג | תיאור |
|---|---|---|
| _מזהה | int | מזהה סוג התראה |
| חותמת זמן | ארוך | חותמת זמן של הזמנים שבהם ההתראה הועלה |
| ישויות | רשימה | רשימה של ישויות הקשורות להתראה |
| כותר | מחרוזת | כותרת ההתראה |
| תיאור | מחרוזת | תיאור ההתראה |
| isMarkdown | בול | סמן בדגל כדי לציין אם תיאור ההתראה כבר נמצא ב- HTML |
| ערך מצב | int | מצב ההתראה. ערכים אפשריים כוללים: 0: לא נקרא 1: קריאה 2: מאוחסן בארכיון |
| חומרה- ערך | int | חומרת ההתראה. ערכים אפשריים כוללים: 0: נמוך 1: בינוני 2: גבוה 3: מידע |
| פתרוןStatusValue | int | מצב ההתראה. ערכים אפשריים כוללים: 0: פתח את 1: נדחה 2: נפתר 3: FALSE_POSITIVE 4: שבן 5: 5 TRUE_POSITIVE |
| סיפורים | רשימה | קטגוריית סיכון. ערכים אפשריים כוללים: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: תאימות 3: DLP 4: גילוי 5: SHARING_CONTROL 7:ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
| ראיה | רשימה | רשימה של תיאורים קצרים של החלקים העיקריים של ההתראה |
| כוונה | רשימה | שדה שמציין את המטרה הקשורה לשרשרת ההרוגים מאחורי ההתראה. ניתן לדווח על ערכים מרובים בשדה זה. ערכי ספירת המטרה פועלים בהתאם למודל att@ck הארגוני MITRE. בתיעוד של MITRE ניתן למצוא הנחיות נוספות לגבי הטכניקות השונות שמגדירות כל מטרה. ערכים אפשריים כוללים: 0: לא ידוע 1: קידומת 2: INITIAL_ACCESS 3: התמדה 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: גילוי 8: LATERAL_MOVEMENT 9: ביצוע 10: אוסף 11: הרחבה 12: COMMAND_AND_CONTROL 13: השפעה |
| isPreview | בול | התראות שהופצו לאחרונה כ- GA |
| ביקורות (אופציונלי) | רשימה | רשימה של מזהה אירוע הקשורים להתראה |
מסננים
לקבלת מידע אודות האופן שבו מסננים פועלים, ראה מסננים.
הטבלה הבאה מתארת את המסננים הנתמכים:
| מסנן | סוג | אופרטורים | תיאור |
|---|---|---|---|
| ישות.ישות | ישות pk | eq,neq | סנן התראות הקשורות לישויות שצוינו. דוגמה[{ "id": "entity-id", "inst": 0 }] |
| entity.ip | מחרוזת | eq, neq | סינון התראות הקשורות לכתובות IP שצוינו |
| entity.service | מספר שלם | eq, neq | סינון התראות הקשורות ל- appId של השירות שצוין, לדוגמה: 11770 |
| entity.instance | מספר שלם | eq, neq | סנן התראות הקשורות למופעים שצוינו, לדוגמה: 11770, 1059065 |
| entity.policy | מחרוזת | eq, neq | סינון התראות הקשורות למדיניות שצוינה |
| entity.file | מחרוזת | eq, neq | סינון התראות הקשורות לקובץ שצוין |
| לחצן התראהפתח | בוליאני | eq | אם ההגדרה היא True, החזרת התראות פתוחות בלבד, אם הוגדרו כ- False, החזרת התראות סגורות בלבד |
| חומרת | מספר שלם | eq, neq | סנן לפי חומרה. ערכים אפשריים כוללים: 0: נמוך 1: בינוני 2: גבוה |
| מצב רזולוציה | מספר שלם | eq, neq | סנן לפי מצב רזולוציית התראה, הערכים האפשריים כוללים: 0: פתח את 1: משוחרר (מצב מדור קודם) 2: נפתר (מצב מדור קודם) 3: סגור כתוצאה חיובית מוטעית 4: סגור כבן-טוב 5: סגור כחיוביות אמיתית |
| קרא | בוליאני | eq | אם ההגדרה היא True, החזרת התראות קריאה בלבד, אם הוגדרו כ- False, החזרת התראות שלא נקראו |
| תמר | חותמת זמן | lte, gte, טווח, lte_ndays, gte_ndays | סינון לפי הזמן שבו ההתראה מופעלת |
| תאריך פתרון | חותמת זמן | lte, gte, range | סינון לפי הזמן שבו ההתראה נפתרה |
| סיכון | מספר שלם | eq, neq | סנן לפי סיכון |
| סוג התראה | מספר שלם | eq, neq | סנן לפי סוג התראה |
| ID | מחרוזת | eq, neq | סנן לפי זהות התראה |
| מקור | מחרוזת | eq | מקור ההתראה, מוכלל או מדיניות |
אם אתה נתקל בבעיות כלשהן, אנחנו כאן כדי לעזור. לקבלת סיוע או תמיכה עבור בעיית המוצר שלך, פתח כרטיס תמיכה.