Riasztások API
Megjegyzés:
Felhőhöz készült Microsoft Defender Alkalmazások mostantól a A Microsoft 365 Defender, amely korrelál a Microsoft Defender-csomag különböző jeleivel, és incidensszintű észlelést, vizsgálatot és hatékony válaszképességeket biztosít. További információ: Felhőhöz készült Microsoft Defender Alkalmazások a Microsoft 365 Defenderben.
A Riasztások API tájékoztatást nyújt a figyelmet igénylő Felhőhöz készült Defender-alkalmazások által azonosított azonnali kockázatokról. A riasztások gyanús használati mintákból vagy a vállalati szabályzatot sértő tartalmat tartalmazó fájlokból származhatnak.
Az alábbiakban a támogatott kéréseket soroljuk fel:
- Riasztások listázása
- Jóindulatú bezárása
- Hamis pozitív bezárása
- Igaz pozitív bezárása
- Riasztás beolvasása
- Riasztás megjelölése olvasottként
- Riasztás megjelölése olvasatlanként
Elavult kérések
Az alábbi táblázat felsorolja az elavultként elavult kéréseket, valamint azokat lecserélő kéréseket.
| Elavult kérés | Alternative |
|---|---|
| Tömeges elvetés | Hamis pozitív bezárása |
| Tömeges feloldás | Igaz pozitív bezárása |
| Figyelmeztetés bezárása | Hamis pozitív bezárása |
Megjegyzés:
Az elavult kérések megfeleltetve vannak alternatíváiknak a megszakítás elkerülése érdekében. Ha azonban elavult kéréseket használ a környezetében, javasoljuk, hogy frissítse őket alternatíváikra.
Properties
A válaszobjektum a következő tulajdonságokat határozza meg.
| Tulajdonság | Type | Description |
|---|---|---|
| _id | egész | Riasztástípus azonosítója |
| timestamp | hosszú | A riasztás létrehozásának időbélyege |
| létrehozása | list | A riasztáshoz kapcsolódó entitások listája |
| title | sztring | A riasztás címe |
| leírás | sztring | A riasztás leírása |
| isMarkdown | logikai | Jelző, amely jelzi, hogy a riasztás leírása már HTML-ben van-e |
| statusValue | egész | A riasztás állapota. Lehetséges értékek: 0: OLVASATLAN 1: OLVASÁS 2: ARCHIVÁLVA |
| severityValue | egész | A riasztás súlyossága. Lehetséges értékek: 0: ALACSONY 1: KÖZEPES 2: MAGAS 3: TÁJÉKOZTATÓ |
| resolutionStatusValue | egész | A riasztás állapota. Lehetséges értékek: 0: MEGNYITÁS 1: DISMIS Standard kiadás D 2: FELOLDVA 3: FAL Standard kiadás_POSITIVE 4: JÓINDULATÚ 5: TRUE_POSITIVE |
| Történetek | list | Kockázati kategória. Lehetséges értékek: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: MEGFELELŐSÉG 3: DLP 4: DISCOVERY 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
| Bizonyíték | list | A riasztás fő részeinek rövid leírásai |
| szándék | list | A riasztás mögötti leölési lánchoz kapcsolódó szándékot meghatározó mező. Ebben a mezőben több érték is szerepelhet. A szándék enumerálási értékei a MITRE att@ck vállalati mátrixmodellt követik. Az egyes szándékokat alkotó különböző technikákkal kapcsolatos további útmutatás a MITRE dokumentációjában található. Lehetséges értékek: 0: ISMERETLEN 1: PREATTACK 2: INITIAL_ACCESS 3: MEGŐRZÉS 4: PRIVILEGE_ESCALATION 5: DEFEN Standard kiadás_EVASION 6: CREDENTIAL_ACCESS 7: DISCOVERY 8: LATERAL_MOVEMENT 9: VÉGREHAJTÁS 10: GYŰJTEMÉNY 11: EXFILTRATION 12: COMMAND_AND_CONTROL 13: HATÁS |
| isPreview | logikai | A közelmúltban ga-ként kiadott riasztások |
| auditok (nem kötelező) | list | A riasztáshoz kapcsolódó eseményazonosítók listája |
| threatScore | egész | Felhasználói vizsgálat prioritása |
Filters
A szűrők működéséről további információt a Szűrők című témakörben talál.
Az alábbi táblázat a támogatott szűrőket ismerteti:
| Szűrő | Type | Operators | Leírás |
|---|---|---|---|
| entity.entity | entitás pk | eq,neq | Szűrje a megadott entitásokhoz kapcsolódó riasztásokat. Example: [{ "id": "entity-id", "inst": 0 }] |
| entity.ip | sztring | eq, neq | Megadott IP-címekkel kapcsolatos riasztások szűrése |
| entity.service | egész szám | eq, neq | Szűrje a megadott szolgáltatásalkalmazás-azonosítóhoz kapcsolódó riasztásokat, például: 11770 |
| entity.instance | egész szám | eq, neq | Szűrje a megadott példányokkal kapcsolatos riasztásokat, például: 11770, 1059065 |
| entity.policy | sztring | eq, neq | A megadott szabályzatokhoz kapcsolódó riasztások szűrése |
| entity.file | sztring | eq, neq | A megadott fájlhoz kapcsolódó riasztások szűrése |
| alertOpen | Logikai | eq | Ha igaz értékre van állítva, csak nyitott riasztásokat ad vissza, ha hamis értékre van állítva, csak lezárt riasztásokat ad vissza |
| súlyosság | egész szám | eq, neq | Szűrés súlyosság szerint. Lehetséges értékek: 0: Alacsony 1: Közepes 2: Magas |
| resolutionStatus | egész szám | eq, neq | Szűrés riasztásfeloldási állapot szerint, a lehetséges értékek a következők: 0: Megnyitás 1: Elvetve (örökölt állapot) 2: Feloldva (örökölt állapot) 3: Hamis pozitívként zárva 4: Jóindulatúként zárva 5: Igaz pozitívként lezárva |
| olvasás | Logikai | eq | Ha igaz értékre van állítva, csak olvasási riasztásokat ad vissza, ha hamis értékre van állítva, olvasatlan riasztásokat ad vissza |
| dátum: | timestamp | lte, gte, tartomány, lte_ndays, gte_ndays | Szűrés a riasztás aktiválásakor |
| resolutionDate | timestamp | lte, gte, tartomány | Szűrés a riasztás feloldásának időpontjáig |
| Kockázat | egész szám | eq, neq | Szűrés kockázat szerint |
| alertType | egész szám | eq, neq | Szűrés riasztástípus szerint |
| Azonosító | sztring | eq, neq | Szűrés riasztásazonosítók szerint |
| forrás | sztring | eq | A riasztás eredete beépített vagy szabályzat |
Ha bármilyen problémába ütközik, azért vagyunk itt, hogy segítsünk. A termékproblémával kapcsolatos segítségért vagy támogatásért nyisson meg egy támogatási jegyet.