לקריאה באנגלית

שתף באמצעות


סוג משאב התראה

חל על:

הערה

לקבלת החוויה המלאה הזמינה של API של התראות בכל המוצרים של Microsoft Defender, בקר ב: שימוש ב- API האבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

הערה

אם אתה לקוח של ממשלת ארה"ב, השתמש בURI המפורטים ב - Microsoft Defender for Endpoint עבור לקוחות של ממשלת ארה"ב.

טיפ

לקבלת ביצועים טובים יותר, באפשרותך להשתמש בשרת קרוב יותר למיקום הגיאוגרפי שלך:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

שיטות

השיטה סוג החזרה תיאור
קבל התראה התראה קבלת אובייקט התראה יחיד
רשימה של התראות אוסף התראות אוסף התראות רשימה
עדכן התראה התראה עדכון התראה ספציפית
התראות עדכון אצווה עדכון אצוות התראות
יצירת התראה התראה יצירת התראה בהתבסס על נתוני אירוע שהתקבלו מ'ציד מתקדם'
רשימת תחומים קשורים אוסף תחומים כתובות URL של רשימה המשויכות להתראה
רשימת קבצים קשורים אוסף קבצים רשימת ישויות הקובץ המשויכות להתראה
רשימת כתובות IP קשורות אוסף IP כתובות IP של רשימה המשויכות להתראה
קבל מכונות קשורות מחשב המחשב המשויך להתראה
קבל משתמשים קשורים משתמש המשתמש המשויך להתראה

מאפיינים

מאפיין סוג תיאור
ID מחרוזת מזהה התראה.
כותר מחרוזת כותרת התראה.
תיאור מחרוזת תיאור ההתראה.
alertCreationTime Nullable DateTimeOffset התאריך והשעה (ב- UTC) ההתראה נוצרה.
lastEventTime Nullable DateTimeOffset המופע האחרון של האירוע שהפעיל את ההתראה באותו מכשיר.
firstEventTime Nullable DateTimeOffset המופע הראשון של האירוע שהפעיל את ההתראה במכשיר זה.
lastUpdateTime Nullable DateTimeOffset התאריך והשעה (ב- UTC) ההתראה עודכנה לאחרונה.
resolvedTime Nullable DateTimeOffset התאריך והשעה שבהם מצב ההתראה השתנה ל'נפתר'.
מזהה אירוע ארוך הניתן ל- Null מזהה האירוע של ההתראה.
מזהה חקירה ארוך הניתן ל- Null מזהה החקירה הקשור להתראה.
מצב חקירה Enum הניתן ל- Null המצב הנוכחי של החקירה. הערכים האפשריים הם: לאידוע, הסתיים, הצליחRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, אל תסתיר את זה.
מוקצה ל מחרוזת הבעלים של ההתראה.
rbacGroupName מחרוזת שם קבוצת מכשירים לבקרת גישה המבוססת על תפקיד.
mitreTechniques מחרוזת מזהה טכניקה של Mitre Enterprise.
שימוש קשור מחרוזת פרטי המשתמש הקשורים להתראה ספציפית.
חומרת ערך ספירה חומרת ההתראה. הערכים האפשריים הם: לא מוגדרים, מידע, נמוך, בינוניוגה.
מצב ערך ספירה מציין את המצב הנוכחי של ההתראה. הערכים האפשריים הם: Unknown, New, InProgress ו- Resolved.
מיון Enum הניתן ל- Null מפרט ההתראה. הערכים האפשריים הם: TruePositive, Informational, expected activity, ו- FalsePositive.
נחישות Enum הניתן ל- Null מציין את קביעת ההתראה.

ערכי קביעה אפשריים עבור כל סיווג הם:

  • חיובי אמיתי: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – שקול לשנות את שם הספירה ב- API הציבורי בהתאם, Malware (תוכנות זדוניות), Phishing (דיוג), Unwanted software (UnwantedSoftware) Other וכן (אחר).
  • מידע, פעילות צפויה:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - שקול לשנות את שם הספירה ב- API הציבורי בהתאם וכן Other (אחר).
  • חיובית מוטעית:Not malicious (נקי) - שקול לשנות את שם הספירה ב- API הציבורי בהתאם, Not enough data to validate (InsufficientData) ו- Other (אחר).
  • קטגוריה מחרוזת קטגוריית ההתראה.
    מקור זיהוי מחרוזת מקור זיהוי.
    threatFamilyName מחרוזת משפחת איומים.
    שם איום מחרוזת שם איום.
    מזהה מחשב מחרוזת מזהה של ישות מחשב המשויכת להתראה.
    שם מחשב מחרוזת שם מלא של מחשב.
    דורית תירם מחרוזת מזהה Entra של Microsoft.
    מזהה גלאי מחרוזת מזהה הגלאי שהפעיל את ההתראה.
    הערות רשימת הערות התראה אובייקט הערת התראה מכיל: מחרוזת הערה, מחרוזת createdBy ותאריך שעה של createTime.
    ראיה רשימת ראיות התראה ראיות הקשורות להתראה. עיין בדוגמה הבאה.

    הערה

    סביב 29 באוגוסט 2022, ערכי קביעת ההתראה הנתמכים בעבר (Apt ו- SecurityPersonnel) לא יהיו עוד זמינים דרך ה- API.

    דוגמה לתגובה לקבלת התראה יחידה:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    השתמש ב- API של אבטחת Microsoft Graph - Microsoft Graph | Microsoft Learn

    טיפ

    האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.