Alerts API
A Alerts API információt nyújt a figyelmet igénylő Defender for Cloud Apps által azonosított közvetlen kockázatokról. A riasztások gyanús használati mintákból vagy a vállalati szabályzatot megsértő tartalmat tartalmazó fájlokból származhatnak.
Az alábbi lista a támogatott kéréseket sorolja fel:
- Értesítések listázása
- Jóindulatú bezárása
- Álpozitív bezárása
- Igaz pozitív bezárása
- Riasztás beolvasása
- Riasztás megjelölése olvasottként
- Riasztás megjelölése olvasatlanként
Az alábbi táblázat az elavultként elavultként elavult kéréseket és az azokat lecserélő kéréseket sorolja fel.
Elavult kérés | Alternatív |
---|---|
Tömeges elvetés | Álpozitív bezárása |
Tömeges feloldás | Igaz pozitív bezárása |
Riasztás elvetése | Álpozitív bezárása |
Megjegyzés
Az elavult kérések a megszakítások elkerülése érdekében megfeleltethetők alternatíváiknak. Ha azonban elavult kéréseket használ a környezetében, javasoljuk, hogy frissítse őket az alternatíváikra.
A válaszobjektum a következő tulajdonságokat határozza meg.
Tulajdonság | Típus | Leírás |
---|---|---|
_azonosító | Int | Riasztástípus azonosítója |
Időbélyeg | hosszú | A riasztás létrehozásának időbélyege |
Entitások | lista | A riasztáshoz kapcsolódó entitások listája |
cím | sztring | A riasztás címe |
leírás | sztring | A riasztás leírása |
isMarkdown | Bool | Jelző, amely jelzi, hogy a riasztás leírása már SZEREPEL-e HTML-ben |
statusValue | Int | A riasztás állapota. A lehetséges értékek a következők: 0: OLVASATLAN 1: OLVASÁS 2: ARCHIVÁLVA |
severityValue | Int | A riasztás súlyossága. A lehetséges értékek a következők: 0: ALACSONY 1: KÖZEPES 2: MAGAS 3: TÁJÉKOZTATÓ |
resolutionStatusValue | Int | A riasztás állapota. A lehetséges értékek a következők: 0: MEGNYITÁS 1: ELVETVE 2: MEGOLDVA 3: FALSE_POSITIVE 4: JÓINDULATÚ 5: TRUE_POSITIVE |
Történetek | lista | Kockázati kategória. A lehetséges értékek a következők: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: MEGFELELŐSÉG 3: DLP 4: FELDERÍTÉS 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
bizonyíték | lista | A riasztás főbb részeinek rövid leírásai |
szándék | lista | Egy mező, amely meghatározza a riasztás mögötti leölési lánchoz kapcsolódó szándékot. Ebben a mezőben több érték is jelenthető. A szándék enumerálási értékei a MITRE att@ck vállalati mátrixmodellt követik. Az egyes szándékokat alkotó különböző technikákkal kapcsolatos további útmutatást a MITRE dokumentációjában talál. A lehetséges értékek a következők: 0: ISMERETLEN 1: PREATTACK 2: INITIAL_ACCESS 3: ADATMEGŐRZÉS 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: FELDERÍTÉS 8: LATERAL_MOVEMENT 9: VÉGREHAJTÁS 10: GYŰJTEMÉNY 11: KISZIVÁRGÁS 12: COMMAND_AND_CONTROL 13: HATÁS |
isPreview | Bool | A közelmúltban általánosan elérhetőként kiadott riasztások |
auditok (nem kötelező) | lista | A riasztáshoz kapcsolódó eseményazonosítók listája |
threatScore | Int | Felhasználói vizsgálat prioritása |
További információ a szűrők működéséről: Szűrők.
Az alábbi táblázat a támogatott szűrőket ismerteti:
Szűrő | Típus | Piaci szereplők | Leírás |
---|---|---|---|
entity.entity | entity pk | eq,neq | Szűrje a megadott entitásokhoz kapcsolódó riasztásokat. Példa: [{ "id": "entity-id", "inst": 0 }] |
entity.ip | sztring | eq, neq | Megadott IP-címekkel kapcsolatos riasztások szűrése |
entity.service | egész szám | eq, neq | Szűrje a megadott szolgáltatásalkalmazás-azonosítóhoz kapcsolódó riasztásokat, például: 11770 |
entity.instance | egész szám | eq, neq | Szűrje a megadott példányokhoz kapcsolódó riasztásokat, például: 11770, 1059065 |
entity.policy | sztring | eq, neq | A megadott szabályzatokhoz kapcsolódó riasztások szűrése |
entity.file | sztring | eq, neq | A megadott fájlhoz kapcsolódó riasztások szűrése |
alertOpen | Logikai | Eq | Ha igaz értékre van állítva, csak nyitott riasztásokat ad vissza, ha false (hamis) értékre van állítva, csak lezárt riasztásokat ad vissza. |
súlyosság | egész szám | eq, neq | Szűrés súlyosság szerint. A lehetséges értékek a következők: 0: Alacsony 1: Közepes 2: Magas |
resolutionStatus | egész szám | eq, neq | Szűrés riasztásfeloldási állapot alapján, a lehetséges értékek a következők: 0: Megnyitás 1: Elvetve (örökölt állapot) 2: Megoldva (örökölt állapot) 3: Hamis pozitívként lezárva 4: Jóindulatúként zárva 5: Lezárva valódi pozitívként |
olvas | Logikai | Eq | Ha igaz értékre van állítva, csak olvasási riasztásokat ad vissza, ha false (hamis) értékre van állítva, olvasatlan riasztásokat ad vissza |
dátum | Időbélyeg | lte, gte, range, lte_ndays, gte_ndays | Szűrés a riasztás aktiválásának időpontja szerint |
resolutionDate | Időbélyeg | lte, gte, range | Szűrés a riasztás feloldásának időpontja szerint |
kockázat | egész szám | eq, neq | Szűrés kockázat szerint |
alertType | egész szám | eq, neq | Szűrés riasztástípus szerint |
Azonosító | sztring | eq, neq | Szűrés riasztásazonosítók alapján |
forrás | sztring | Eq | A riasztás forrása, beépített vagy szabályzat |
Ha bármilyen problémába ütközik, segítünk. Ha segítséget vagy támogatást szeretne kapni a termék problémájához, nyisson egy támogatási jegyet.