英語で読む

次の方法で共有


アラート リソースの種類

適用対象:

注意

すべての Microsoft Defenders 製品で使用可能なアラート API エクスペリエンスの詳細については、「 Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

注意

米国政府機関のお客様は、 Microsoft Defender for Endpoint for US Government のお客様に記載されている URI を使用してください。

ヒント

パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

メソッド

メソッド 戻り値の型 説明
警告の取得 アラート 1 つの アラート オブジェクトを取得する
アラートの一覧表示 アラート コレクション アラート コレクションの一覧表示
警告の更新 アラート 特定のアラートを更新する
アラートのバッチ更新 アラートのバッチ を更新する
アラートの作成 アラート Advanced Hunting から取得したイベント データに基づいてアラートを作成する
関連ドメインを一覧表示する ドメイン コレクション アラートに関連付けられている URL を一覧表示する
関連ファイルを一覧表示する ファイル コレクション アラートに関連付けられているファイル エンティティを一覧表示する
関連する IP を一覧表示する IP コレクション アラートに関連付けられている IP を一覧表示する
関連するマシンを取得する マシン アラートに関連付けられているマシン
関連ユーザーを取得する ユーザー アラートに関連付けられているユーザー

プロパティ

プロパティ 説明
ID String アラート ID。
title String 警告タイトル。
説明 String 警告の説明。
alertCreationTime Null 許容 DateTimeOffset アラートが作成された日付と時刻 (UTC)。
lastEventTime Null 許容 DateTimeOffset 同じデバイスでアラートをトリガーしたイベントの最後の発生。
firstEventTime Null 許容 DateTimeOffset そのデバイスでアラートをトリガーしたイベントの最初の発生。
lastUpdateTime Null 許容 DateTimeOffset アラートが最後に更新された日付と時刻 (UTC)。
resolvedTime Null 許容 DateTimeOffset アラートの状態が 解決済みに変更された日時。
incidentId Null 許容長 アラートの インシデント ID。
investigationId Null 許容長 アラートに関連する 調査 ID。
investigationState Null 許容列挙型 調査の現在の状態。 使用可能な値は、不明終了正常に修復された、良性失敗部分修復済み実行中PendingApprovalPendingResourcePartiallyInvestigatedTerminatedBySystemQueuedInnerFailurePreexistingAlertUnsupportedAlertTypeです。SuppressedAlert
assignedTo String アラートの所有者。
rbacGroupName String ロールベースのアクセス制御デバイス グループ名。
mitreTechniques String Mitre Enterprise の手法 ID。
relatedUser String 特定のアラートに関連するユーザーの詳細。
severity 列挙 アラートの重大度。 使用可能な値は、 UnSpecifiedInformationalLowMediumHigh です
status 列挙 アラートの現在の状態を指定します。 使用可能な値は、UnknownNewInProgress、Resolved です
classification Null 許容列挙型 アラートの仕様。 使用可能な値は、 TruePositiveInformational, expected activity、および FalsePositiveです。
決定 Null 許容列挙型 アラートの決定を指定します。

分類ごとに考えられる決定値は次のとおりです。

  • True positive: Multistage attack (MultiStagedAttack)、 Malicious user activity (MaliciousUserActivity)、 Compromised account (CompromisedUser) - パブリック API の列挙型名を適宜変更することを検討してください。それに応じて、 Malware (マルウェア)、 Phishing (フィッシング)、 Unwanted software (UnwantedSoftware)、 Other (Other)。
  • 情報提供、期待されるアクティビティ:Security test (SecurityTesting)、 Line-of-business application (LineOfBusinessApplication)、 Confirmed activity (ConfirmedUserActivity) - パブリック API の列挙名を適宜変更し、 Other (その他) を検討してください。
  • 誤検知:Not malicious (クリーン) - パブリック API の列挙名を適宜、 Not enough data to validate (InsufficientData)、 Other (その他) に変更することを検討してください。
  • category String アラートのカテゴリ。
    detectionSource String 検出ソース。
    threatFamilyName String 脅威ファミリ。
    threatName String 脅威名。
    MachineId String アラートに関連付けられている マシン エンティティの ID。
    computerDnsName String マシン の完全修飾名。
    aadTenantId String Microsoft Entra ID。
    detectorId String アラートをトリガーした検出機能の ID。
    comments アラート コメントの一覧 Alert Comment オブジェクトには、コメント文字列、createdBy 文字列、createTime 日付時刻が含まれます。
    証拠 アラートの証拠の一覧 アラートに関連する証拠。 次の例をご覧ください。

    注意

    2022 年 8 月 29 日頃、以前にサポートされていたアラート決定値 (AptSecurityPersonnel) は非推奨となり、API を介して使用できなくなります。

    1 つのアラートを取得するための応答の例:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

    ヒント

    さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。