Riasztások API listázása
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Megjegyzés:
Ha Ön az USA kormányzati szerveinek ügyfele, használja az USA kormányzati ügyfeleinek készült Végponthoz készült Microsoft Defenderben felsorolt URI-kat.
Tipp
A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-leírás
Lekéri a riasztások gyűjteményét.
Támogatja az OData V4-lekérdezéseket.
OData által támogatott operátorok:
-
$filteron:alertCreationTime,lastUpdateTime,incidentId,InvestigationId,id,asssignedTo,detectionSource,lastEventTime,status,severityéscategorytulajdonságok. -
$toplegfeljebb 10 000 értékkel $skip-
$expandbólevidence - Példákat az OData-lekérdezések a Végponthoz készült Microsoft Defenderrel című témakörben talál.
Korlátozások
A riasztásokat a konfigurált megőrzési időszaknak megfelelően frissítheti utoljára.
A maximális oldalméret 10 000.
Az API sebességkorlátozásai percenként 100 hívás, óránként 1500 hívás.
Engedélyek
Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, beleértve az engedélyek kiválasztását is: Végponthoz készült Microsoft Defender API-k használata.
| Engedély típusa | Engedély | Engedély megjelenítendő neve |
|---|---|---|
| Alkalmazás | Alert.Read.All | Read all alerts |
| Alkalmazás | Alert.ReadWrite.All | Read and write all alerts |
| Delegált (munkahelyi vagy iskolai fiók) | Alert.Read | Read alerts |
| Delegált (munkahelyi vagy iskolai fiók) | Alert.ReadWrite | Read and write alerts |
Megjegyzés:
Jogkivonat felhasználói hitelesítő adatokkal történő beszerzésekor:
- A felhasználónak legalább a következő szerepköri engedéllyel kell rendelkeznie:
View Data(További információért lásd: Szerepkörök létrehozása és kezelése ) - A válasz csak azokhoz az eszközökhöz társított riasztásokat tartalmazza, amelyekhez a felhasználó hozzáférhet az eszközcsoport beállításai alapján (további információért lásd: Eszközcsoportok létrehozása és kezelése ).
Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.
HTTP-kérés
GET /api/alerts
Kérelemfejlécek
| Name (Név) | Típus | Leírás |
|---|---|---|
| Felhatalmazás | Karakterlánc | Tulajdonos : {token}. Kötelező megadni. |
Kérelem törzse
Üres
Válasz
Ha sikerült, ez a metódus 200 OK értéket ad vissza, valamint a riasztási objektumok listáját a válasz törzsében.
1. példa – Alapértelmezett
Kérés
Íme egy példa a kérésre.
GET https://api.securitycenter.microsoft.com/api/alerts
Válasz
Íme egy példa a válaszra.
Megjegyzés:
Az itt látható válaszlista a rövidség kedvéért csonkulhat. A rendszer minden riasztást visszaad egy tényleges hívásból.
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Alerts",
"value": [
{
"id": "da637308392288907382_-880718168",
"incidentId": 7587,
"investigationId": 723156,
"assignedTo": "secop123@contoso.com",
"severity": "Low",
"status": "New",
"classification": "TruePositive",
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAv",
"category": "SuspiciousActivity",
"threatFamilyName": "Meterpreter",
"title": "Suspicious 'Meterpreter' behavior was detected",
"description": "Malware and unwanted software are undesirable applications that perform annoying, disruptive, or harmful actions on affected machines. Some of these undesirable applications can replicate and spread from one machine to another. Others are able to receive commands from remote attackers and perform activities associated with cyber attacks.\n\nA malware is considered active if it is found running on the machine or it already has persistence mechanisms in place. Active malware detections are assigned higher severity ratings.\n\nBecause this malware was active, take precautionary measures and check for residual signs of infection.",
"alertCreationTime": "2020-07-20T10:53:48.7657932Z",
"firstEventTime": "2020-07-20T10:52:17.6654369Z",
"lastEventTime": "2020-07-20T10:52:18.1362905Z",
"lastUpdateTime": "2020-07-20T10:53:50.19Z",
"resolvedTime": null,
"machineId": "12ee6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "MiddleEast",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2020-07-21T01:00:37.8404534Z"
}
],
"evidence": []
}
...
]
}
2. példa – 10 legújabb riasztás lekérése a kapcsolódó bizonyítékokkal
Kérés
Íme egy példa a kérésre.
GET https://api.securitycenter.microsoft.com/api/alerts?$top=10&$expand=evidence
Válasz
Íme egy példa a válaszra.
Megjegyzés:
Az itt látható válaszlista a rövidség kedvéért csonkulhat. A rendszer minden riasztást visszaad egy tényleges hívásból.
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Alerts",
"value": [
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
},
...
]
}
Lásd még
OData-lekérdezések a Végponthoz készült Microsoft Defenderrel
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.