Alerts API
Alerts API では、注意が必要なDefender for Cloud Appsによって識別される即時リスクに関する情報が提供されます。 アラートは、疑わしい使用パターンや、会社のポリシーに違反するコンテンツを含むファイルから発生する可能性があります。
サポートされている要求の一覧を次に示します。
次の表に、廃止された要求と、それらを置き換える要求を示します。
注意
非推奨の要求は、中断を回避するために代替の要求にマップされています。 ただし、環境内で古い要求を使用している場合は、代わりに要求を更新することをお勧めします。
応答オブジェクトは、次のプロパティを定義します。
プロパティ | 型 | 説明 |
---|---|---|
_身分証明書 | int | アラートの種類の識別子 |
timestamp | long | アラートが発生した時刻のタイムスタンプ |
エンティティ | list | アラートに関連するエンティティの一覧 |
title | string | アラートのタイトル |
説明 | string | アラートの説明 |
isMarkdown | bool | アラートの説明が既に HTML に含まれているかどうかを示すフラグ |
statusValue | int | アラートの状態。 次の値を指定できます。 0: 未読 1: READ 2: アーカイブ済み |
severityValue | int | アラートの重大度。 次の値を指定できます。 0: LOW 1: MEDIUM 2: HIGH 3: INFORMATIONAL |
resolutionStatusValue | int | アラートの状態。 次の値を指定できます。 0: OPEN 1: 無視 2: 解決済み 3: FALSE_POSITIVE 4: 良性 5: TRUE_POSITIVE |
物語 | list | リスク カテゴリ。 次の値を指定できます。 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: コンプライアンス 3: DLP 4: 検出 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
証拠 | list | アラートのメイン部分の簡単な説明の一覧 |
intent | list | アラートの背後にあるキル チェーン関連の意図を指定するフィールド。 このフィールドでは、複数の値を報告できます。
意図列挙値は、MITRE att@ckエンタープライズ マトリックス モデルに従います。 各意図を構成するさまざまな手法に関する詳細なガイダンスについては、MITRE のドキュメントを参照してください。 次の値を指定できます。 0: 不明 1: 事前攻撃 2: INITIAL_ACCESS 3: 永続化 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: 検出 8: LATERAL_MOVEMENT 9: 実行 10: コレクション 11: 流出 12: COMMAND_AND_CONTROL 13: 影響 |
isPreview | bool | 最近 GA としてリリースされたアラート |
監査 (省略可能) | list | アラートに関連するイベント ID の一覧 |
threatScore | int | ユーザー調査の優先順位 |
フィルターのしくみについては、「 フィルター」を参照してください。
次の表では、サポートされているフィルターについて説明します。
Filter | 型 | 演算子 | 説明 |
---|---|---|---|
entity.entity | entity pk | eq,neq | 指定したエンティティに関連するアラートをフィルター処理します。 例: [{ "id": "entity-id", "inst": 0 }] |
entity.ip | string | eq, neq | 指定した IP アドレスに関連するアラートをフィルター処理する |
entity.service | integer | eq, neq | 指定されたサービス appId に関連するアラートをフィルター処理します (例: 11770)。 |
entity.instance | integer | eq, neq | 指定したインスタンスに関連するアラート (例: 11770、1059065) をフィルター処理する |
entity.policy | string | eq, neq | 指定したポリシーに関連するアラートをフィルター処理する |
entity.file | string | eq, neq | 指定したファイルに関連するアラートをフィルター処理する |
alertOpen | ブール値 | eq | true に設定すると、開いているアラートのみが返され、false に設定されている場合は、閉じたアラートのみが返されます |
severity | integer | eq, neq | 重大度でフィルター処理します。 次の値を指定できます。 0: Low 1: 中 2: 高 |
resolutionStatus | integer | eq, neq | アラート解決の状態でフィルター処理します。使用可能な値は次のとおりです。 0: 開く 1: 無視 (レガシ状態) 2: 解決済み (レガシ状態) 3: 誤検知として閉じる 4: 良性として閉じる 5: 真正として閉じる |
read | ブール値 | eq | true に設定すると、読み取りアラートのみが返され、false に設定されている場合は未読アラートが返されます |
date | timestamp | lte、gte、range、lte_ndays、gte_ndays | アラートがトリガーされた時刻でフィルター処理する |
resolutionDate | timestamp | lte、gte、range | アラートが解決された時刻でフィルター処理する |
リスク | integer | eq, neq | リスクでフィルター処理 |
alertType | integer | eq, neq | アラートの種類でフィルター処理する |
ID | string | eq, neq | アラート ID でフィルター処理する |
source | string | eq | アラートの配信元 (組み込みまたはポリシー) |
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。