Microsoft Defender ATP

Microsoft Defender ATP は、予防的保護、侵害後の検出、自動調査、および対応のための統合プラットフォームです。 詳細はこちら: http://aka.ms/wdatp を参照してください

このコネクタは、次の製品および地域で利用可能です。

サービス クラス 地域
Logic Apps 標準 以下を除くすべての Logic Apps 地域 :
     -   Azure China の地域
Power Automate Premium 以下を除くすべての Power Automate 地域 :
     -   21 Vianet が運用する中国のクラウド
Power Apps プレミアム 以下を除くすべての Power Apps 地域 :
     -   21 Vianet が運用する中国のクラウド
コネクタ メタデータ
公開元 Microsoft
Web サイト https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp

接続の作成

コネクタは、次の認証タイプをサポートしています:

既定 接続を作成するためのパラメーター。 すべての地域 共有不可

既定

適用できるもの: すべての領域

接続を作成するためのパラメーター。

これは共有可能な接続ではありません。 パワー アプリが別のユーザーと共有されている場合、別のユーザーは新しい接続を明示的に作成するように求められます。

調整制限

名前 呼び出し 更新期間
接続ごとの API 呼び出し 100 60 秒

アクション

IPS - 指定された IP アドレスの統計を取得します

指定された IP アドレス (IPv4 または IPv6 の形式) に関連する Windows Defender ATP 統計から取得します。

RemediationActivities - 単一の修復活動を取得 (プレビュー)

指定した修復活動を Windows Defender ATP から取得する

アクション - 1 つのコンピューター アクションをキャンセル

特定のコンピューター アクションをキャンセルする

アクション - 1 つの調査を取得する

Microsoft Defender ATP から特定の調査を取得します

アクション - アプリの実行制限します

事前定義されたセットを除く、マシン上のすべてのアプリケーションの実行を制限する

アクション - アプリの実行制限を削除します

マシン上の任意のアプリケーションの実行を有効にする

アクション - ウイルス対策スキャンを実行します

マシンで Windows Defender アンチウイルス スキャンを開始します

アクション - マシン アクションのリストを取得します

Windows Defender ATP から最新のマシン アクションを取得します

アクション - マシンで自動調査を開始します (プレビュー)

マシンで自動調査を開始します

アクション - マシンの調査を開始します (非推奨)

マシンで調査を開始します

アクション - マシンをユニソレートします

マシンをネットワークからユニソレートする

アクション - マシンを分離します

マシンをネットワークから分離する

アクション - ライブ応答を実行

1 台のコンピューターに対してライブ応答 API コマンドを実行する

アクション - ライブ応答コマンドの結果をダウンロードする URI を取得

完了したライブ応答コマンドの結果をダウンロードする URI を取得

アクション - 単一のマシン アクションを取得します

Windows Defender ATP から特定のマシン アクションを取得する

アクション - 調査のリストを取得する

Microsoft Defender ATP から最新の調査を取得します

アクション - 調査パッケージのダウンロード URI を取得する

調査パッケージのダウンロード URI を取得する

アクション - 調査パッケージを収集する

機械から調査パッケージを収集する

アラート - アラートのリストを取得します

Windows Defender ATP から最新のアラートを取得します

アラート - アラートの作成

特定のイベントに基づいてアラートを作成する

アラート - アラートの更新

Windows Defender ATP アラートを更新します

アラート - 単一のアラートを取得します

Windows Defender ATP から特定のアラートを取得する

ドメイン - 指定されたドメイン名の統計を取得します

指定したドメイン名に関連する Windows Defender ATP 統計から取得する

ファイル - 指定されたファイルの統計を取得します

識別子 (Sha1 または Sha256) で指定されたファイルからファイルへの Windows Defender ATP 統計から取得します

マシン - タグ マシン

マシンへのタグの追加またはタグの削除

マシン - マシンのリストを取得します

Windows Defender ATP から最新のマシンを取得します

マシン - 単一のマシンを取得します

Windows Defender ATP から特定のマシンを取得する

修復タスク - 修復活動の一覧を取得 (プレビュー)

Windows Defender ATP から修復活動を取得する

修復活動 - 関連するコンピューターの一覧を取得 (プレビュー)

指定した修復活動に関連するコンピューター一覧を Windows Defender ATP から取得する

高度な狩猟

Windows Defender ATP でカスタム クエリを実行する

IPS - 指定された IP アドレスの統計を取得します

指定された IP アドレス (IPv4 または IPv6 の形式) に関連する Windows Defender ATP 統計から取得します。

パラメーター

名前 キー 必須 説明
IP アドレス
Ip Address True string

IP アドレス

さかのぼって確認する期間 (時間) です。既定は 24 時間です。
lookBackHours integer

さかのぼって確認する期間 (時間) です。既定は 24 時間です。

戻り値

単一の IP アドレス統計エンティティ

IP 統計
IpStats

RemediationActivities - 単一の修復活動を取得 (プレビュー)

指定した修復活動を Windows Defender ATP から取得する

パラメーター

名前 キー 必須 説明
修復活動の ID
RemediationID True string

取得する修復活動の識別子

戻り値

単一の修復活動エンティティ

修復活動
RemediationActivity

アクション - 1 つのコンピューター アクションをキャンセル

特定のコンピューター アクションをキャンセルする

パラメーター

名前 キー 必須 説明
マシン アクションの ID
Machine Action ID True string

キャンセルするコンピューター アクションの識別子

コメント
Comment True string

コンピューター アクションのキャンセルに関連付けるコメント

戻り値

単一のマシン アクション エンティティ

マシン アクション
MachineAction

アクション - 1 つの調査を取得する

Microsoft Defender ATP から特定の調査を取得します

パラメーター

名前 キー 必須 説明
調査の ID
Investigation ID True string

取得する調査の識別子

戻り値

単一の調査エンティティ

調査
Investigation

アクション - アプリの実行制限します

事前定義されたセットを除く、マシン上のすべてのアプリケーションの実行を制限する

パラメーター

名前 キー 必須 説明
マシン ID
Machine ID True string

制限を解除するするマシンの ID

コメント
Comment True string

制限に関連付けるコメント

戻り値

単一のマシン アクション エンティティ

マシン アクション
MachineAction

アクション - アプリの実行制限を削除します

マシン上の任意のアプリケーションの実行を有効にする

パラメーター

名前 キー 必須 説明
マシン ID
Machine ID True string

制限を解除するするマシンの ID

コメント
Comment True string

制限の削除に関連付けるコメント

戻り値

単一のマシン アクション エンティティ

マシン アクション
MachineAction

アクション - ウイルス対策スキャンを実行します

マシンで Windows Defender アンチウイルス スキャンを開始します

パラメーター

名前 キー 必須 説明
マシン ID
Machine ID True string

スキャンするマシンの ID

コメント
Comment True string

スキャン要求に関連付けるコメント

スキャンの種類
ScanType True string

実行するスキャンの種類。 許可される値は 「Quick」 または 「Full」 です

戻り値

単一のマシン アクション エンティティ

マシン アクション
MachineAction

アクション - マシン アクションのリストを取得します

Windows Defender ATP から最新のマシン アクションを取得します

パラメーター

名前 キー 必須 説明
結果のフィルター処理
$filter string

OData 構文を使用して結果をフィルター処理します。

プロパティの選択
$select string

応答に含めるプロパティを選択します。既定はすべてです。

結果の並べ替え
$orderby string

結果を並べ替えます。

最初の結果を返す
$top integer

最初の n 件の結果のみを返します。

最初の結果をスキップする
$skip integer

最初の n 件の結果をスキップします。

数を含める
$count boolean

一致する結果の数を応答に含めます。

戻り値

名前 パス 説明
マシン アクション 回数
@odata.count integer

このクエリで処理可能なマシン アクションの数

マシン アクション
value array of MachineAction

返されたマシン アクション

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

アクション - マシンで自動調査を開始します (プレビュー)

マシンで自動調査を開始します

パラメーター

名前 キー 必須 説明
マシン ID
Machine ID True string

調査するするマシンの ID

コメント
Comment True string

調査に関連付けるコメント

戻り値

単一の調査エンティティ

調査
Investigation

アクション - マシンの調査を開始します (非推奨)

マシンで調査を開始します

パラメーター

名前 キー 必須 説明
マシン ID
Machine ID True string

調査するするマシンの ID

コメント
Comment True string

調査に関連付けるコメント

戻り値

名前 パス 説明
調査 ID
value string

調査の ID

アクション - マシンをユニソレートします

マシンをネットワークからユニソレートする

パラメーター

名前 キー 必須 説明
マシン ID
Machine ID True string

ユニソレートするマシンの ID

コメント
Comment True string

ユニソレートに関連付けるコメント

戻り値

単一のマシン アクション エンティティ

マシン アクション
MachineAction

アクション - マシンを分離します

マシンをネットワークから分離する

パラメーター

名前 キー 必須 説明
マシン ID
Machine ID True string

分離するマシンの ID

コメント
Comment True string

分離に関連付けるコメント

分離の種類
IsolationType True string

分離の種類です。 許可される値は、「完全」 (完全な分離の場合) または 「選択的」 (限られたアプリケーションのセットのみがネットワークにアクセスするのを制限するため) です

戻り値

単一のマシン アクション エンティティ

マシン アクション
MachineAction

アクション - ライブ応答を実行

1 台のコンピューターに対してライブ応答 API コマンドを実行する

パラメーター

名前 キー 必須 説明
マシン ID
Machine ID True string

ライブ応答セッションを実行するコンピューターの ID

コメント
Comment True string

分離に関連付けるコメント

コマンドの種類
type True string

コマンドの種類

コマンド パラメーター キー
key string

コマンド パラメーターのキー

コマンド パラメーター値
value string

コマンド パラメーターの値

戻り値

単一のマシン アクション エンティティ

マシン アクション
MachineAction

アクション - ライブ応答コマンドの結果をダウンロードする URI を取得

完了したライブ応答コマンドの結果をダウンロードする URI を取得

パラメーター

名前 キー 必須 説明
マシン アクションの ID
Machine Action ID True string

コンピューター アクションの識別子

ライブ応答コマンドのインデックス
Command Index True integer

結果をダウンロードする URI を取得するライブ応答コマンドのインデックス

戻り値

名前 パス 説明
URI のダウンロード
value string

ライブ応答コマンドのダウンロード URI

アクション - 単一のマシン アクションを取得します

Windows Defender ATP から特定のマシン アクションを取得する

パラメーター

名前 キー 必須 説明
マシン アクションの ID
Machine Action ID True string

取得するマシン アクションの識別子

戻り値

単一のマシン アクション エンティティ

マシン アクション
MachineAction

アクション - 調査のリストを取得する

Microsoft Defender ATP から最新の調査を取得します

パラメーター

名前 キー 必須 説明
結果のフィルター処理
$filter string

OData 構文を使用して結果をフィルター処理します。

プロパティの選択
$select string

応答に含めるプロパティを選択します。既定はすべてです。

結果の並べ替え
$orderby string

結果を並べ替えます。

最初の結果を返す
$top integer

最初の n 件の結果のみを返します。

最初の結果をスキップする
$skip integer

最初の n 件の結果をスキップします。

数を含める
$count boolean

一致する結果の数を応答に含めます。

戻り値

名前 パス 説明
調査回数
@odata.count integer

このクエリで調査可能な数

調査
value array of Investigation

調査が返されました

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

アクション - 調査パッケージのダウンロード URI を取得する

調査パッケージのダウンロード URI を取得する

パラメーター

名前 キー 必須 説明
アクション ID
Machine action ID True string

調査パッケージ コレクションの ID

戻り値

名前 パス 説明
パッケージ SAS URI
value string

調査パッケージ SAS URI

アクション - 調査パッケージを収集する

機械から調査パッケージを収集する

パラメーター

名前 キー 必須 説明
マシン ID
Machine ID True string

調査を収集するマシンの ID

コメント
Comment True string

コレクションに関連付けるコメント

戻り値

単一のマシン アクション エンティティ

マシン アクション
MachineAction

アラート - アラートのリストを取得します

Windows Defender ATP から最新のアラートを取得します

パラメーター

名前 キー 必須 説明
エンティティを展開します
$expand string

関連するエンティティをインラインで展開します。

結果のフィルター処理
$filter string

OData 構文を使用して結果をフィルター処理します。

プロパティの選択
$select string

応答に含めるプロパティを選択します。既定はすべてです。

結果の並べ替え
$orderby string

結果を並べ替えます。

最初の結果を返す
$top integer

最初の n 件の結果のみを返します。

最初の結果をスキップする
$skip integer

最初の n 件の結果をスキップします。

数を含める
$count boolean

一致する結果の数を応答に含めます。

戻り値

名前 パス 説明
アラート回数
@odata.count integer

このクエリで処理可能なアラートの数

アラート
value array of Alert

返されたアラートの数

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

アラート - アラートの作成

特定のイベントに基づいてアラートを作成する

パラメーター

名前 キー 必須 説明
マシン ID
machineId True string

イベントが識別されたマシンの ID

レポート ID
reportId True integer

イベントのレポート ID

イベント時間
eventTime True string

文字列としてのイベントの時刻、例: 2018-08-03T16:45:21.7115183Z

重要度
severity True string

アラートの重大度。

カテゴリ
category True string

アラートのカテゴリ

敬称
title True string

アラートのタイトル

内容
description True string

アラートの説明

推奨されるアクション
recommendedAction True string

アラートの推奨アクション

戻り値

単一のアラート エンティティ

Alert
Alert

アラート - アラートの更新

Windows Defender ATP アラートを更新します

パラメーター

名前 キー 必須 説明
アラートの ID です
Alert ID True string

更新するアラートの識別子

ステータス
status string

アラートの状態です。 「New」、「InProgress」、「Resolved」 のいずれか

割り当て先
assignedTo string

アラートを割り当てる人

分類
classification string

アラートの分類。 「Unknown」、「FalsePositive」、「TruePositive」 のいずれか

判定
determination string

アラートの判定。 「NotAvailable」、「Apt」、「Malware」、「SecurityPersonnel」、「SecurityTesting」、「UnwantedSoftware」、「Other」 のいずれか

戻り値

単一のアラート エンティティ

Alert
Alert

アラート - 単一のアラートを取得します

Windows Defender ATP から特定のアラートを取得する

パラメーター

名前 キー 必須 説明
アラートの ID です
Alert ID True string

取得するアラートの識別子

戻り値

単一のアラート エンティティ

Alert
Alert

ドメイン - 指定されたドメイン名の統計を取得します

指定したドメイン名に関連する Windows Defender ATP 統計から取得する

パラメーター

名前 キー 必須 説明
ドメイン名
Domain Name True string

ドメイン名

さかのぼって確認する期間 (時間) です。既定は 24 時間です。
lookBackHours integer

さかのぼって確認する期間 (時間) です。既定は 24 時間です。

戻り値

単一の IP アドレス統計エンティティ

ドメイン統計
DomainStats

ファイル - 指定されたファイルの統計を取得します

識別子 (Sha1 または Sha256) で指定されたファイルからファイルへの Windows Defender ATP 統計から取得します

パラメーター

名前 キー 必須 説明
ファイル識別子 - Sha1、または Sha256
File ID True string

ファイル識別子 - Sha1、または Sha256

さかのぼって確認する期間 (時間) です。既定は 24 時間です。
lookBackHours integer

さかのぼって確認する期間 (時間) です。既定は 24 時間です。

戻り値

単一のファイル統計エンティティ

ファイル統計
FileStats

マシン - タグ マシン

マシンへのタグの追加またはタグの削除

パラメーター

名前 キー 必須 説明
マシンの ID
Machine ID True string

タグを追加または削除する必要があるマシンの ID

Value True string

追加または削除するタグ

操作​​
Action True string

実行されるアクション。 値は、「Add」 (タグを追加する場合) または 「Remove」 (タグを削除する場合) のいずれかである必要があります

戻り値

単一のマシン エンティティ

コンピューター
Machine

マシン - マシンのリストを取得します

Windows Defender ATP から最新のマシンを取得します

パラメーター

名前 キー 必須 説明
結果のフィルター処理
$filter string

OData 構文を使用して結果をフィルター処理します。

プロパティの選択
$select string

応答に含めるプロパティを選択します。既定はすべてです。

結果の並べ替え
$orderby string

結果を並べ替えます。

最初の結果を返す
$top integer

最初の n 件の結果のみを返します。

最初の結果をスキップする
$skip integer

最初の n 件の結果をスキップします。

数を含める
$count boolean

一致する結果の数を応答に含めます。

戻り値

名前 パス 説明
コンピューターの数
@odata.count integer

このクエリで処理可能なコンピューターの数

コンピューター
value array of Machine

返されたコンピューターの数

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

マシン - 単一のマシンを取得します

Windows Defender ATP から特定のマシンを取得する

パラメーター

名前 キー 必須 説明
マシンの ID
Machine ID True string

取得するマシンの識別子

戻り値

単一のマシン エンティティ

コンピューター
Machine

修復タスク - 修復活動の一覧を取得 (プレビュー)

Windows Defender ATP から修復活動を取得する

パラメーター

名前 キー 必須 説明
結果のフィルター処理
$filter string

OData 構文を使用して結果をフィルター処理します。

プロパティの選択
$select string

応答に含めるプロパティを選択します。既定はすべてです。

結果の並べ替え
$orderby string

結果を並べ替えます。

最初の結果を返す
$top integer

最初の n 件の結果のみを返します。

最初の結果をスキップする
$skip integer

最初の n 件の結果をスキップします。

数を含める
$count boolean

一致する結果の数を応答に含めます。

戻り値

名前 パス 説明
修復活動の数
@odata.count integer

このクエリによる修復活動の数

修復活動
value array of RemediationActivity

戻された修復活動

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

修復活動 - 関連するコンピューターの一覧を取得 (プレビュー)

指定した修復活動に関連するコンピューター一覧を Windows Defender ATP から取得する

パラメーター

名前 キー 必須 説明
修復活動の ID
RemediationID True string

取得する修復活動の識別子

戻り値

名前 パス 説明
コンピューターの数
@odata.count integer

このクエリで処理可能なコンピューターの数

コンピューター
value array of Machine

返されたコンピューターの数

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

高度な狩猟

Windows Defender ATP でカスタム クエリを実行する

パラメーター

名前 キー 必須 説明
Query
Query True string

実行するクエリ

戻り値

この操作の出力は状況に応じて変わります。

トリガー

トリガー - 新しい WDATP アラートが発生したときにトリガーします

Windows Defender ATP アラートを登録する

新しい修復活動の作成時にトリガーする (プレビュー)

新しい修復活動の作成時にトリガーする

トリガー - 新しい WDATP アラートが発生したときにトリガーします

Windows Defender ATP アラートを登録する

戻り値

本文​​
WebHookNotification

新しい修復活動の作成時にトリガーする (プレビュー)

新しい修復活動の作成時にトリガーする

戻り値

名前 パス 説明
修復活動の数
@odata.count integer

このクエリによる修復活動の数

修復活動
value array of RemediationActivity

戻された修復活動

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

定義

Alert

単一のアラート エンティティ

名前 パス 説明
アラート ID
id string

アラート識別子

インシデント ID
incidentId integer

インシデントの ID

調査 ID
investigationId integer

調査の ID

アラートの重大度
severity string

アラートの重大度

ステータス
status string

アラートの状態

内容
description string

アラートの説明

アラート作成時間
alertCreationTime date-time

アラートが作成された時刻

カテゴリ
category string

アラート カテゴリ

敬称
title string

アラートのタイトル

脅威の家族名
threatFamilyName string

脅威の家族名

検出ソース
detectionSource string

検出ソース

分類
classification string

アラート分類

判定
determination string

アラート判定

割り当て先
assignedTo string

アラートが割り当てられた人

解決時間
resolvedTime string

アラートが解決された時間

最終イベント時間
lastEventTime date-time

アラートに関連する最終イベントの時間

初回イベント時間
firstEventTime date-time

アラートに関連する初回イベントの時間

マシン ID
machineId string

アラートに関連するマシンの識別子

コンピューター

単一のマシン エンティティ

名前 パス 説明
マシン ID
id string

マシンの識別子

コンピューター名
computerDnsName string

コンピュータ名

最初の画面
firstSeen date-time

マシンが受信した初回イベントの時間

最後の表示
lastSeen date-time

マシンが受信した最終イベントの時間

OS プラットフォーム
osPlatform string

マシンの OS プラットフォーム

OS バージョン
osVersion string

マシンの OS バージョン

システム製品名
systemProductName date-time

systemProductName

最後の IP アドレス
lastIpAddress string

マシンの最後の IP アドレス

最後の外部 IP アドレス
lastExternalIpAddress string

マシンの最後の外部 IP アドレス

エージェントのバージョン
agentVersion string

エージェントのバージョン

OS ビルド
osBuild integer

マシンの OS ビルド

正常性状態
healthStatus string

マシンの正常性状態

参加した Microsoft Entra ID です
isAadJoined boolean

コンピュータが Microsoft Entra ID に参加しているかどうかを示すフラグ

マシン タグ
machineTags array of string

マシンに関連付けられているタグ

RBAC グループ ID
rbacGroupId integer

マシンが属する RBAC グループの ID

RBAC グループ名
rbacGroupName string

マシンが属する RBAC グループ名

リスク スコア
riskScore string

マシンがどれだけリスクにさらされているかを示すスコア

Microsoft Entra ID デバイス ID
aadDeviceId string

aadDeviceId

RemediationActivity

単一の修復活動エンティティ

名前 パス 説明
修復活動 ID
id string

修復活動の ID

修復活動のタイトル
title string

修復活動のタイトル

作成日時
createdOn date-time

修復活動が作成された時刻

状態の最終変更日時
statusLastModifiedOn date-time

状態が最後に変更された日時

作成者 ID
requesterId string

修復活動の作成者 ID

作成者のメール
requesterEmail string

修復活動の作成者の電子メール アドレス

ステータス
status string

修復活動の状態

内容
description string

修復活動の説明

関連コンポーネント
relatedComponent string

修復活動関連コンポーネント

対象のデバイス
targetDevices integer

修復活動の対象であるコンピューターの数

Rbac グループ名
rbacGroupNames array of string

修復活動に関連付けられた rbac グループ名

修復済みデバイス
fixedDevices integer

修復活動が終了したコンピューターの数

作成者メモ
requesterNotes string

修復活動の作成者メモ

期限
dueOn date-time

修復活動の期限

カテゴリ
category string

修復活動のカテゴリ

生産性に影響する修復の種類
productivityImpactRemediationType string

修復による生産性への影響の種類

優先順位
priority string

修復活動の優先度

完了方法
completionMethod string

修復活動の完了方法

完了者 ID
completerId string

修復活動の完了者のオブジェクト ID

完了者の電子メール
completerEmail string

この修復活動の完了者の電子メール アドレス

セキュリティ構成 ID
scid string

修復活動のセキュリティ構成 ID

タイプ
type string

修復活動の種類

製品 ID
productId string

製品 ID

ベンダー ID
vendorId string

ベンダー ID

名前 ID
nameId string

名前 ID

推奨されるバージョン
recommendedVersion string

推奨されるバージョン

推奨されるベンダー
recommendedVendor string

推奨されるベンダー

推奨されるプログラム
recommendedProgram string

推奨されるプログラム

レコメンデーション参照
RecommendationReference string

レコメンデーション参照

MachineAction

単一のマシン アクション エンティティ

名前 パス 説明
アクション ID
id string

マシン アクションの ID

アクションの種類
type string

アクションのタイプ (例: 「Isolate」、「CollectInvestigationPackage」、...)

要請者
requestor string

マシン アクションをリクエストした人

コメント
requestorComment string

マシン アクションに関連付けられているコメント

ステータス
status string

マシン アクションのステータス (例: 「InProgress」)

ID
machineId string

アクションが実行されたマシンの ID

作成時間
creationDateTimeUtc date-time

アクションが要求された UTC 時間

最終更新時刻
lastUpdateDateTimeUtc date-time

アクションが更新された最後の UTC 時間

コマンド
commands array of LiveResponseCommandStatus

ライブ応答コンピューター アクション コマンド

LiveResponseCommandStatus

ライブ応答のコンピューター アクション エンティティの 1 つのコマンド

名前 パス 説明
コマンド インデックス
index integer

コマンドのインデックス

コマンド実行開始時刻
startTime date-time

コマンド実行開始時刻 (UTC)

コマンド実行終了時刻
endTime date-time

コマンド実行終了時刻 (UTC)

コマンドの状態
commandStatus string

コマンド実行の状態 ('完了' など)

コマンド エラー
errors array of string

コマンド実行エラーの一覧です。 エラーが報告されていない場合は、空の一覧になります。

コマンド
command LiveResponseCommand

LiveResponseCommand

名前 パス 説明
コマンドの種類
type string

コマンドの種類

コマンド パラメーター
params array of object

コマンド パラメーターの一覧です。

コマンド パラメーター キー
params.key string

コマンド パラメーターのキー

コマンド パラメーター値
params.value string

コマンド パラメーターの値

FileStats

単一のファイル統計エンティティ

名前 パス 説明
Sha1
sha1 string

ファイルの sha1

グローバル普及率
globallyPrevalence integer

ファイルのグローバル普及率です。

グローバルでの最初の観察
globalFirstObserved date-time

ファイルが最初にグローバルで観察された時間です。

グローバルでの最後の観察
globalLastObserved date-time

ファイルが最後に観察された時間です。

組織普及率
organizationPrevalence integer

組織全体のファイル普及率

組織での最初の観察
orgFirstSeen date-time

組織で最初にファイルが観察された時間です。

組織での最後の観察
orgLastSeen date-time

組織で最後にファイルが観察された時間です。

上位のファイル名
topFileNames array of string

このファイルが表示されたファイル名です。

IpStats

単一の IP アドレス統計エンティティ

名前 パス 説明
IP アドレス
ipAddress string

IP アドレス

組織普及率
organizationPrevalence integer

組織全体の IP アドレス普及率

組織での最初の観察
orgFirstSeen date-time

組織で最初に IP アドレスが観察された時間です。

組織での最後の観察
orgLastSeen date-time

組織で最後に IP アドレスが観察された時間です。

DomainStats

単一の IP アドレス統計エンティティ

名前 パス 説明
ホスト
host string

ドメイン ホストです。

組織普及率
organizationPrevalence integer

組織全体のドメイン普及率

組織での最初の観察
orgFirstSeen date-time

組織で最初にドメインが観察された時間です。

組織での最後の観察
orgLastSeen date-time

組織で最後にドメインが観察された時間です。

調査

単一の調査エンティティ

名前 パス 説明
ID
id string

調査の ID

調査状況
state string

調査の状況 (例: 「Benign」、「Running」 など)

状態の詳細
statusDetails string

ステータスの詳細

コンピューター名
computerDnsName string

コンピュータ名

マシン ID
machineId string

マシンの ID

開始時刻
startTime date-time

調査が開始された UTC 時間

終了時刻
endTime date-time

調査が完了した UTC 時間

WebHookNotification

名前 パス 説明
アラート ID
id string
マシン ID
machineId string