Olvasás angol nyelven

Megosztás a következőn keresztül:


Riasztás erőforrástípusa

Érintett szolgáltatás:

Megjegyzés

A Teljes körűen elérhető Alerts API-élményért a Microsoft Defenders összes termékében látogasson el a következő oldalra: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés

Ha Ön az USA kormányzati szerveinek ügyfele, használja az USA kormányzati ügyfeleinek készült Végponthoz készült Microsoft Defenderben felsorolt URI-kat.

Tipp.

A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Módszerek

Módszer Visszatérési típus Leírás
Riasztás lekérése Értesítés Egyetlen riasztási objektum lekérése
Értesítések listázása Riasztásgyűjtemény Riasztásgyűjtemények listázása
Frissítési riasztás Értesítés Adott riasztás frissítése
Kötegfrissítési értesítések Riasztásköteg frissítése
Értesítés létrehozása Értesítés Riasztás létrehozása speciális veszélyforrás-keresésből származó eseményadatok alapján
Kapcsolódó tartományok listázása Tartománygyűjtemény A riasztáshoz társított URL-címek listázása
Kapcsolódó fájlok listázása Fájlgyűjtemény A riasztáshoz társított fájlentitások listázása
Kapcsolódó IP-címek listázása IP-gyűjtemény A riasztáshoz társított IP-címek listázása
Kapcsolódó gépek lekérése Gép A riasztáshoz társított gép
Kapcsolódó felhasználók lekérése Felhasználó A riasztáshoz társított felhasználó

Tulajdonságok

Tulajdonság Típus Leírás
Azonosító Karakterlánc Riasztás azonosítója.
cím Karakterlánc Riasztás címe.
leírás Karakterlánc Riasztás leírása.
alertCreationTime Nullable DateTimeOffset A riasztás létrehozásának dátuma és időpontja (UTC).
lastEventTime Nullable DateTimeOffset A riasztást ugyanazon az eszközön aktiváló esemény utolsó előfordulása.
firstEventTime Nullable DateTimeOffset A riasztást aktiváló esemény első előfordulása az eszközön.
lastUpdateTime Nullable DateTimeOffset A riasztás utolsó frissítésének dátuma és időpontja (UTC).
resolvedTime Nullable DateTimeOffset Az a dátum és idő, amelyben a riasztás állapota Feloldva állapotra módosult.
incidentId Nullable Long A riasztás incidensazonosítója .
investigationId Nullable Long A riasztáshoz kapcsolódó vizsgálati azonosító.
investigationState Nullázható enumerálás A vizsgálat aktuális állapota. Lehetséges értékek: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Karakterlánc A riasztás tulajdonosa.
rbacGroupName Karakterlánc Szerepköralapú hozzáférés-vezérlési eszközcsoport neve.
mitreTechniques Karakterlánc Mitre Enterprise-technika azonosítója.
relatedUser Karakterlánc Egy adott riasztáshoz kapcsolódó felhasználó adatai.
súlyosság Enumerálás A riasztás súlyossága. A lehetséges értékek a következők: Meghatározatlan, Tájékoztató, Alacsony, Közepes és Magas.
állapot Enumerálás A riasztás aktuális állapotát adja meg. Lehetséges értékek: Ismeretlen, Új, Bejövő és Megoldott.
osztályozás Nullázható enumerálás A riasztás specifikációja. A lehetséges értékek a következők: TruePositive, Informational, expected activityés FalsePositive.
elhatározás Nullázható enumerálás Meghatározza a riasztás meghatározását.

Az egyes besorolások lehetséges meghatározási értékei a következők:

  • Valódi pozitív: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – ennek megfelelően módosítsa a számnevét a nyilvános API-ban( Malware), Malware (Phishing), Unwanted softwarePhishing (UnwantedSoftware) és Other (Egyéb).
  • Tájékoztató, várt tevékenység:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – érdemes lehet ennek megfelelően módosítani a számnevet a nyilvános API-ban, és Other (Egyéb).
  • Hamis pozitív:Not malicious (Tiszta) – érdemes lehet ennek megfelelően módosítani a nyilvános API számnevét, Not enough data to validate (InsufficientData) és Other (Egyéb).
  • kategória Karakterlánc A riasztás kategóriája.
    detectionSource Karakterlánc Észlelési forrás.
    threatFamilyName Karakterlánc Veszélyforrás-család.
    threatName Karakterlánc Fenyegetés neve.
    machineId Karakterlánc A riasztáshoz társított gépentitás azonosítója.
    computerDnsName Karakterlánc gép teljes neve.
    aadTenantId Karakterlánc A Microsoft Entra azonosítója.
    detectorId Karakterlánc A riasztást kiváltó érzékelő azonosítója.
    megjegyzések Riasztási megjegyzések listája A Riasztási megjegyzés objektum a következőket tartalmazza: megjegyzéssztring, createdBy karakterlánc és createTime dátumidő.
    Bizonyíték Riasztási bizonyítékok listája A riasztással kapcsolatos bizonyítékok. Lásd az alábbi példát.

    Megjegyzés

    2022. augusztus 29-én a korábban támogatott riasztás-meghatározási értékek (Apt és SecurityPersonnel) elavultak lesznek, és már nem érhetők el az API-n keresztül.

    Példa válasz egyetlen riasztás lekérésére:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn

    Tipp.

    Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.