סוג משאב התראה
חל על:
הערה
לקבלת החוויה המלאה הזמינה של API של התראות בכל המוצרים של Microsoft Defender, בקר ב: שימוש ב- API האבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.
רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
הערה
אם אתה לקוח של ממשלת ארה"ב, השתמש בURI המפורטים ב - Microsoft Defender for Endpoint עבור לקוחות של ממשלת ארה"ב.
עצה
לקבלת ביצועים טובים יותר, באפשרותך להשתמש בשרת קרוב יותר למיקום הגיאוגרפי שלך:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
שיטות
| השיטה | סוג החזרה | תיאור |
|---|---|---|
| קבל התראה | התראה | קבלת אובייקט התראה יחיד |
| רשימה של התראות | אוסף התראות | אוסף התראות רשימה |
| עדכן התראה | התראה | עדכון התראה ספציפית |
| התראות עדכון אצווה | עדכון אצוות התראות | |
| יצירת התראה | התראה | יצירת התראה בהתבסס על נתוני אירוע שהתקבלו מ'ציד מתקדם' |
| רשימת תחומים קשורים | אוסף תחומים | כתובות URL של רשימה המשויכות להתראה |
| רשימת קבצים קשורים | אוסף קבצים | רשימת ישויות הקובץ המשויכות להתראה |
| רשימת כתובות IP קשורות | אוסף IP | כתובות IP של רשימה המשויכות להתראה |
| קבל מכונות קשורות | מחשב | המחשב המשויך להתראה |
| קבל משתמשים קשורים | משתמש | המשתמש המשויך להתראה |
מאפיינים
| מאפיין | סוג | תיאור |
|---|---|---|
| ID | מחרוזת | מזהה התראה. |
| כותר | מחרוזת | כותרת התראה. |
| תיאור | מחרוזת | תיאור ההתראה. |
| alertCreationTime | Nullable DateTimeOffset | התאריך והשעה (ב- UTC) ההתראה נוצרה. |
| lastEventTime | Nullable DateTimeOffset | המופע האחרון של האירוע שהפעיל את ההתראה באותו מכשיר. |
| firstEventTime | Nullable DateTimeOffset | המופע הראשון של האירוע שהפעיל את ההתראה במכשיר זה. |
| lastUpdateTime | Nullable DateTimeOffset | התאריך והשעה (ב- UTC) ההתראה עודכנה לאחרונה. |
| resolvedTime | Nullable DateTimeOffset | התאריך והשעה שבהם מצב ההתראה השתנה ל'נפתר'. |
| מזהה אירוע | ארוך הניתן ל- Null | מזהה האירוע של ההתראה. |
| מזהה חקירה | ארוך הניתן ל- Null | מזהה החקירה הקשור להתראה. |
| מצב חקירה | Enum הניתן ל- Null | המצב הנוכחי של החקירה. הערכים האפשריים הם: לאידוע, הסתיים, הצליחRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, אל תסתיר את זה. |
| מוקצה ל | מחרוזת | הבעלים של ההתראה. |
| rbacGroupName | מחרוזת | שם קבוצת מכשירים לבקרת גישה המבוססת על תפקיד. |
| mitreTechniques | מחרוזת | מזהה טכניקה של Mitre Enterprise. |
| שימוש קשור | מחרוזת | פרטי המשתמש הקשורים להתראה ספציפית. |
| חומרת | ערך ספירה | חומרת ההתראה. הערכים האפשריים הם: לא מוגדרים, מידע, נמוך, בינוניוגה. |
| מצב | ערך ספירה | מציין את המצב הנוכחי של ההתראה. הערכים האפשריים הם: Unknown, New, InProgress ו- Resolved. |
| מיון | Enum הניתן ל- Null | מפרט ההתראה. הערכים האפשריים הם: TruePositive, Informational, expected activity, ו- FalsePositive. |
| נחישות | Enum הניתן ל- Null | מציין את קביעת ההתראה. ערכי קביעה אפשריים עבור כל סיווג הם: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – שקול לשנות את שם הספירה ב- API הציבורי בהתאם, Malware (תוכנות זדוניות), Phishing (דיוג), Unwanted software (UnwantedSoftware) Other וכן (אחר). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - שקול לשנות את שם הספירה ב- API הציבורי בהתאם וכן Other (אחר). Not malicious (נקי) - שקול לשנות את שם הספירה ב- API הציבורי בהתאם, Not enough data to validate (InsufficientData) ו- Other (אחר). |
| קטגוריה | מחרוזת | קטגוריית ההתראה. |
| מקור זיהוי | מחרוזת | מקור זיהוי. |
| threatFamilyName | מחרוזת | משפחת איומים. |
| שם איום | מחרוזת | שם איום. |
| מזהה מחשב | מחרוזת | מזהה של ישות מחשב המשויכת להתראה. |
| שם מחשב | מחרוזת | שם מלא של מחשב. |
| דורית תירם | מחרוזת | מזהה Entra של Microsoft. |
| מזהה גלאי | מחרוזת | מזהה הגלאי שהפעיל את ההתראה. |
| הערות | רשימת הערות התראה | אובייקט הערת התראה מכיל: מחרוזת הערה, מחרוזת createdBy ותאריך שעה של createTime. |
| ראיה | רשימת ראיות התראה | ראיות הקשורות להתראה. עיין בדוגמה הבאה. |
הערה
סביב 29 באוגוסט 2022, ערכי קביעת ההתראה הנתמכים בעבר (Apt ו- SecurityPersonnel) לא יהיו עוד זמינים דרך ה- API.
דוגמה לתגובה לקבלת התראה יחידה:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
מאמרים קשורים
השתמש ב- API של אבטחת Microsoft Graph - Microsoft Graph | Microsoft Learn
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.