Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'API Avvisi fornisce informazioni sui rischi immediati identificati da Defender for Cloud Apps che richiedono attenzione. Gli avvisi possono derivare da modelli di utilizzo sospetti o da file contenenti contenuto che viola i criteri aziendali.
Di seguito sono elencate le richieste supportate:
- Elencare avvisi
- Chiudi non dannoso
- Chiudi falso positivo
- Chiudi vero positivo
- Recuperare l'avviso
- Contrassegnare l'avviso come letto
- Contrassegnare l'avviso come non letto
Richieste deprecate
Nella tabella seguente sono elencate le richieste deprecate come obsolete e le richieste che le sostituiscono.
| Richiesta obsoleta | Alternativa |
|---|---|
| Ignora in blocco | Chiudi falso positivo |
| Risoluzione in blocco | Chiudi vero positivo |
| Ignorare l'avviso | Chiudi falso positivo |
Nota
Le richieste deprecate sono state mappate alle relative alternative per evitare interruzioni. Tuttavia, se si usano richieste obsolete nell'ambiente, è consigliabile aggiornarle alle relative alternative.
Proprietà
L'oggetto risposta definisce le proprietà seguenti.
| Proprietà | Tipo | Descrizione |
|---|---|---|
| _Id | int | Identificatore del tipo di avviso |
| Timestamp | long | Timestamp di quando è stato generato l'avviso |
| Entità | lista | Elenco di entità correlate all'avviso |
| title | stringa | Titolo dell'avviso |
| descrizione | stringa | Descrizione dell'avviso |
| isMarkdown | bool | Flag per indicare se la descrizione dell'avviso è già in HTML |
| statusValue | int | Stato dell'avviso. I valori possibili includono: 0: NON LETTO 1: LETTURA 2: ARCHIVIATO |
| severityValue | int | Gravità dell'avviso. I valori possibili includono: 0: BASSO 1: MEDIO 2: ALTO 3: INFORMATIVO |
| resolutionStatusValue | int | Stato dell'avviso. I valori possibili includono: 0: APRI 1: IGNORATO 2: RISOLTO 3: FALSE_POSITIVE 4: BENIGNO 5: TRUE_POSITIVE |
| Storie | lista | Categoria di rischio. I valori possibili includono: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: CONFORMITÀ 3: DLP 4: INDIVIDUAZIONE 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
| prova | lista | Elenco di brevi descrizioni delle parti principali dell'avviso |
| intento | lista | Campo che specifica la finalità correlata alla kill chain dietro l'avviso. In questo campo è possibile segnalare più valori. I valori dell'enumerazione delle finalità seguono il modello mitre att@ck matrice aziendale. Ulteriori indicazioni sulle diverse tecniche che costituiscono ogni finalità sono disponibili nella documentazione di MITRE. I valori possibili includono: 0: SCONOSCIUTO 1: PREATTACK 2: INITIAL_ACCESS 3: PERSISTENZA 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: INDIVIDUAZIONE 8: LATERAL_MOVEMENT 9: ESECUZIONE 10: RACCOLTA 11: ESFILTRAZIONE 12: COMMAND_AND_CONTROL 13: IMPATTO |
| isPreview | bool | Avvisi rilasciati di recente come ga |
| controlli (facoltativo) | lista | Elenco di ID evento correlati all'avviso |
Filtri
Per informazioni sul funzionamento dei filtri, vedere Filtri.
La tabella seguente descrive i filtri supportati:
| Filtro | Tipo | Operatori | Descrizione |
|---|---|---|---|
| entity.entity | entity pk | eq,neq | Filtrare gli avvisi correlati alle entità specificate. Esempio: [{ "id": "entity-id", "inst": 0 }] |
| entity.ip | stringa | eq, neq | Filtrare gli avvisi correlati agli indirizzi IP specificati |
| entity.service | integer | eq, neq | Filtrare gli avvisi correlati all'appId del servizio specificato, ad esempio: 11770 |
| entity.instance | integer | eq, neq | Filtrare gli avvisi correlati alle istanze specificate, ad esempio: 11770, 1059065 |
| entity.policy | stringa | eq, neq | Filtrare gli avvisi correlati ai criteri specificati |
| entity.file | stringa | eq, neq | Filtrare gli avvisi correlati al file specificato |
| alertOpen | booleano | Eq | Se impostato su true, restituisce solo avvisi aperti, se impostato su false, restituisce solo avvisi chiusi |
| severità | integer | eq, neq | Filtrare in base alla gravità. I valori possibili includono: 0: Basso 1: Medio 2: Alto |
| resolutionStatus | integer | eq, neq | Filtrare in base allo stato di risoluzione degli avvisi, i valori possibili includono: 0: Aperto 1: Ignorato (stato legacy) 2: Risolto (stato legacy) 3: Chiuso come falso positivo 4: Chiuso come benigno 5: Chiuso come vero positivo |
| leggere | booleano | Eq | Se impostato su true, restituisce solo avvisi di lettura, se impostato su false, restituisce avvisi non letti |
| data | Timestamp | lte, gte, range, lte_ndays, gte_ndays | Filtrare in base all'ora in cui è stato attivato un avviso |
| resolutionDate | Timestamp | lte, gte, range | Filtrare in base all'ora in cui è stato risolto un avviso |
| rischio | integer | eq, neq | Filtrare in base al rischio |
| alertType | integer | eq, neq | Filtrare in base al tipo di avviso |
| ID | stringa | eq, neq | Filtrare in base agli ID avviso |
| fonte | stringa | Eq | Origine dell'avviso, predefinita o criterio |
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.