英語で読む

次の方法で共有


Alerts API

Alerts API では、注意が必要なDefender for Cloud Appsによって識別される即時リスクに関する情報が提供されます。 アラートは、疑わしい使用パターンや、会社のポリシーに違反するコンテンツを含むファイルから発生する可能性があります。

サポートされている要求の一覧を次に示します。

非推奨の要求

次の表に、廃止された要求と、それらを置き換える要求を示します。

廃止された要求 代替手段
一括無視 誤検知を閉じる
一括解決 真正を閉じる
アラートを無視する 誤検知を閉じる

注意

非推奨の要求は、中断を回避するために代替の要求にマップされています。 ただし、環境内で古い要求を使用している場合は、代わりに要求を更新することをお勧めします。

プロパティ

応答オブジェクトは、次のプロパティを定義します。

プロパティ 説明
_身分証明書 int アラートの種類の識別子
timestamp long アラートが発生した時刻のタイムスタンプ
エンティティ list アラートに関連するエンティティの一覧
title string アラートのタイトル
説明 string アラートの説明
isMarkdown bool アラートの説明が既に HTML に含まれているかどうかを示すフラグ
statusValue int アラートの状態。 次の値を指定できます。

0: 未読
1: READ
2: アーカイブ済み
severityValue int アラートの重大度。 次の値を指定できます。

0: LOW
1: MEDIUM
2: HIGH
3: INFORMATIONAL
resolutionStatusValue int アラートの状態。 次の値を指定できます。

0: OPEN
1: 無視
2: 解決済み
3: FALSE_POSITIVE
4: 良性
5: TRUE_POSITIVE
物語 list リスク カテゴリ。 次の値を指定できます。

0: THREAT_DETECTION
1: PRIVILEGED_ACCOUNT_MONITORING
2: コンプライアンス
3: DLP
4: 検出
5: SHARING_CONTROL
7: ACCESS_CONTROL
8: CONFIGURATION_MONITORING
証拠 list アラートのメイン部分の簡単な説明の一覧
intent list アラートの背後にあるキル チェーン関連の意図を指定するフィールド。 このフィールドでは、複数の値を報告できます。 意図列挙値は、MITRE att@ckエンタープライズ マトリックス モデルに従います。 各意図を構成するさまざまな手法に関する詳細なガイダンスについては、MITRE のドキュメントを参照してください。
次の値を指定できます。

0: 不明
1: 事前攻撃
2: INITIAL_ACCESS
3: 永続化
4: PRIVILEGE_ESCALATION
5: DEFENSE_EVASION
6: CREDENTIAL_ACCESS
7: 検出
8: LATERAL_MOVEMENT
9: 実行
10: コレクション
11: 流出
12: COMMAND_AND_CONTROL
13: 影響
isPreview bool 最近 GA としてリリースされたアラート
監査 (省略可能) list アラートに関連するイベント ID の一覧
threatScore int ユーザー調査の優先順位

フィルター

フィルターのしくみについては、「 フィルター」を参照してください。

次の表では、サポートされているフィルターについて説明します。

Filter 演算子 説明
entity.entity entity pk eq,neq 指定したエンティティに関連するアラートをフィルター処理します。 例: [{ "id": "entity-id", "inst": 0 }]
entity.ip string eq, neq 指定した IP アドレスに関連するアラートをフィルター処理する
entity.service integer eq, neq 指定されたサービス appId に関連するアラートをフィルター処理します (例: 11770)。
entity.instance integer eq, neq 指定したインスタンスに関連するアラート (例: 11770、1059065) をフィルター処理する
entity.policy string eq, neq 指定したポリシーに関連するアラートをフィルター処理する
entity.file string eq, neq 指定したファイルに関連するアラートをフィルター処理する
alertOpen ブール値 eq true に設定すると、開いているアラートのみが返され、false に設定されている場合は、閉じたアラートのみが返されます
severity integer eq, neq 重大度でフィルター処理します。 次の値を指定できます。

0: Low
1: 中
2: 高
resolutionStatus integer eq, neq アラート解決の状態でフィルター処理します。使用可能な値は次のとおりです。

0: 開く
1: 無視 (レガシ状態)
2: 解決済み (レガシ状態)
3: 誤検知として閉じる
4: 良性として閉じる
5: 真正として閉じる
read ブール値 eq true に設定すると、読み取りアラートのみが返され、false に設定されている場合は未読アラートが返されます
date timestamp lte、gte、range、lte_ndays、gte_ndays アラートがトリガーされた時刻でフィルター処理する
resolutionDate timestamp lte、gte、range アラートが解決された時刻でフィルター処理する
リスク integer eq, neq リスクでフィルター処理
alertType integer eq, neq アラートの種類でフィルター処理する
ID string eq, neq アラート ID でフィルター処理する
source string eq アラートの配信元 (組み込みまたはポリシー)

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。