הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
לקבלת החוויה המלאה הזמינה של API של התראות בכל המוצרים של Microsoft Defender, בקר ב: שימוש ב- API האבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.
מאפיינים
| מאפיין | סוג | תיאור |
|---|---|---|
| ID | מחרוזת | מזהה התראה. |
| כותר | מחרוזת | כותרת התראה. |
| תיאור | מחרוזת | תיאור ההתראה. |
| alertCreationTime | Nullable DateTimeOffset | התאריך והשעה (ב- UTC) ההתראה נוצרה. |
| lastEventTime | Nullable DateTimeOffset | המופע האחרון של האירוע שהפעיל את ההתראה באותו מכשיר. |
| firstEventTime | Nullable DateTimeOffset | המופע הראשון של האירוע שהפעיל את ההתראה במכשיר זה. |
| lastUpdateTime | Nullable DateTimeOffset | התאריך והשעה (ב- UTC) ההתראה עודכנה לאחרונה. |
| resolvedTime | Nullable DateTimeOffset | התאריך והשעה שבהם מצב ההתראה השתנה ל'נפתר'. |
| מזהה אירוע | ארוך הניתן ל- Null | מזהה האירוע של ההתראה. |
| מזהה חקירה | ארוך הניתן ל- Null | מזהה החקירה הקשור להתראה. |
| מצב חקירה | Enum הניתן ל- Null | המצב הנוכחי של החקירה. הערכים האפשריים הם: לאידוע, הסתיים, הצליחRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, אל תסתיר את זה. |
| מוקצה ל | מחרוזת | הבעלים של ההתראה. |
| rbacGroupName | מחרוזת | שם קבוצת מכשירים לבקרת גישה המבוססת על תפקיד. |
| mitreTechniques | מחרוזת | מזהה טכניקה של Mitre Enterprise. |
| שימוש קשור | מחרוזת | פרטי המשתמש הקשורים להתראה ספציפית. |
| חומרת | ערך ספירה | חומרת ההתראה. הערכים האפשריים הם: לא מוגדרים, מידע, נמוך, בינוניוגה. |
| מצב | ערך ספירה | מציין את המצב הנוכחי של ההתראה. הערכים האפשריים הם: Unknown, New, InProgress ו- Resolved. |
| מיון | Enum הניתן ל- Null | מפרט ההתראה. הערכים האפשריים הם: TruePositive, Informational, expected activity, ו- FalsePositive. |
| נחישות | Enum הניתן ל- Null | מציין את קביעת ההתראה. ערכי קביעה אפשריים עבור כל סיווג הם: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – שקול לשנות את שם הספירה ב- API הציבורי בהתאם, Malware (תוכנות זדוניות), Phishing (דיוג), Unwanted software (UnwantedSoftware) Other וכן (אחר). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - שקול לשנות את שם הספירה ב- API הציבורי בהתאם וכן Other (אחר). Not malicious (נקי) - שקול לשנות את שם הספירה ב- API הציבורי בהתאם, Not enough data to validate (InsufficientData) ו- Other (אחר). |
| קטגוריה | מחרוזת | קטגוריית ההתראה. |
| מקור זיהוי | מחרוזת | מקור זיהוי. |
| threatFamilyName | מחרוזת | משפחת איומים. |
| שם איום | מחרוזת | שם איום. |
| מזהה מחשב | מחרוזת | מזהה של ישות מחשב המשויכת להתראה. |
| שם מחשב | מחרוזת | שם מלא של מחשב. |
| דורית תירם | מחרוזת | ה"מזהה Microsoft Entra". |
| מזהה גלאי | מחרוזת | מזהה הגלאי שהפעיל את ההתראה. |
| הערות | רשימת הערות התראה | אובייקט הערת התראה מכיל: מחרוזת הערה, מחרוזת createdBy ותאריך שעה של createTime. |
| ראיה | רשימת ראיות התראה | ראיות הקשורות להתראה. עיין בדוגמה הבאה. |
הערה
סביב 29 באוגוסט 2022, ערכי קביעת ההתראה הנתמכים בעבר (Apt ו- SecurityPersonnel) לא יהיו עוד זמינים דרך ה- API.
דוגמה לתגובה לקבלת התראה יחידה:
GET https://api.security.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}