경고 API
경고 API는 주의가 필요한 Defender for Cloud Apps 식별된 즉각적인 위험에 대한 정보를 제공합니다. 경고는 의심스러운 사용 패턴 또는 회사 정책을 위반하는 콘텐츠가 포함된 파일에서 발생할 수 있습니다.
다음은 지원되는 요청을 나열합니다.
다음 표에서는 사용되지 않는 요청과 해당 요청을 대체하는 요청을 나열합니다.
참고
중단을 방지하기 위해 사용되지 않는 요청이 대안에 매핑되었습니다. 그러나 사용자 환경에서 사용되지 않는 요청을 사용하는 경우 대체 방법으로 업데이트하는 것이 좋습니다.
응답 개체는 다음 속성을 정의합니다.
속성 | 유형 | 설명 |
---|---|---|
_아이디 | int | 경고 유형 식별자 |
타임 스탬프 | long | 경고가 발생한 시점의 타임스탬프 |
엔터티 | 목록 | 경고와 관련된 엔터티 목록 |
title | 문자열 | 경고의 제목 |
description | 문자열 | 경고의 설명 |
isMarkdown | bool | 경고의 설명이 이미 HTML에 있는지 여부를 나타내는 플래그 |
statusValue | int | 경고의 상태입니다. 가능한 값은 다음과 같습니다. 0: 읽지 않음 1: 읽기 2: 보관됨 |
severityValue | int | 경고의 심각도입니다. 가능한 값은 다음과 같습니다. 0: LOW 1: 보통 2: 높음 3: INFORMATIONAL |
resolutionStatusValue | int | 경고의 상태. 가능한 값은 다음과 같습니다. 0: OPEN 1: 해제됨 2: 해결됨 3: FALSE_POSITIVE 4: BENIGN 5: TRUE_POSITIVE |
이야기 | 목록 | 위험 범주입니다. 가능한 값은 다음과 같습니다. 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: 규정 준수 3: DLP 4: 검색 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
증거 | 목록 | 경고의 기본 부분에 대한 간단한 설명 목록 |
의향 | 목록 | 경고 뒤에 있는 킬 체인 관련 의도를 지정하는 필드입니다. 이 필드에 여러 값을 보고할 수 있습니다.
의도 열거형 값은 MITRE att@ck 엔터프라이즈 매트릭스 모델을 따릅니다. 각 의도를 구성하는 다양한 기술에 대한 추가 지침은 MITRE의 설명서에서 찾을 수 있습니다. 가능한 값은 다음과 같습니다. 0: 알 수 없음 1: 사전 연결 2: INITIAL_ACCESS 3: 지속성 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: 검색 8: LATERAL_MOVEMENT 9: 실행 10: COLLECTION 11: 반출 12: COMMAND_AND_CONTROL 13: 영향 |
isPreview | bool | 최근에 GA로 릴리스된 경고 |
audits (선택 사항) | 목록 | 경고와 관련된 이벤트 ID 목록 |
threatScore | int | 사용자 조사 우선 순위 |
필터 작동 방식에 대한 자세한 내용은 필터를 참조하세요.
다음 표에서는 지원되는 필터에 대해 설명합니다.
필터 | 유형 | 연산자 | 설명 |
---|---|---|---|
entity.entity | 엔터티 pk | eq,neq | 지정된 엔터티와 관련된 경고를 필터링합니다. 예: [{ "id": "entity-id", "inst": 0 }] |
entity.ip | 문자열 | eq, neq | 지정된 IP 주소와 관련된 경고 필터링 |
entity.service | integer | eq, neq | 지정된 서비스 appId와 관련된 경고 필터링(예: 11770) |
실체. instance | integer | eq, neq | 지정된 인스턴스와 관련된 경고 필터링(예: 11770, 1059065 |
entity.policy | 문자열 | eq, neq | 지정된 정책과 관련된 경고 필터링 |
entity.file | 문자열 | eq, neq | 지정된 파일과 관련된 경고 필터링 |
alertOpen | 부울 | eq | true로 설정하면 열린 경고만 반환하고 false로 설정하면 닫힌 경고만 반환합니다. |
심각도 | integer | eq, neq | 심각도를 기준으로 필터링합니다. 가능한 값은 다음과 같습니다. 0: 낮음 1: 중간 2: 높음 |
resolutionStatus | integer | eq, neq | 경고 해결 상태 기준으로 필터링할 수 있는 값은 다음과 같습니다. 0: 열기 1: 해제됨(레거시 상태) 2: 해결됨(레거시 상태) 3: 가양성으로 닫힘 4: 무해한 것으로 마감 5: 참 긍정으로 닫힘 |
읽다 | 부울 | eq | true로 설정하면 읽기 경고만 반환하고 false로 설정하면 읽지 않은 경고가 반환됩니다. |
date | 타임 스탬프 | lte, gte, range, lte_ndays, gte_ndays | 경고가 트리거된 시간별로 필터링 |
resolutionDate | 타임 스탬프 | lte, gte, range | 경고가 해결된 시간별로 필터링 |
위험 | integer | eq, neq | 위험별 필터링 |
alertType | integer | eq, neq | 경고 유형별 필터링 |
ID | 문자열 | eq, neq | 경고 ID로 필터링 |
근원 | 문자열 | eq | 경고의 원본(기본 제공 또는 정책) |
문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.