경고 리소스 종류
적용 대상:
참고
모든 Microsoft Defender 제품에서 사용 가능한 전체 경고 API 환경은 다음을 참조하세요. Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn.
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
참고
미국 정부 고객인 경우 미국 정부 고객용 엔드포인트용 Microsoft Defender에 나열된 URI를 사용하세요.
팁
성능을 향상시키려면 서버를 지리적 위치에 더 가깝게 사용할 수 있습니다.
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
메서드
| 메서드 | 반환 형식 | 설명 |
|---|---|---|
| 경고 가져오기 | 경고 | 단일 경고 개체 가져오기 |
| 경고 목록 | 경고 컬렉션 | 경고 컬렉션 나열 |
| 경고 업데이트 | 경고 | 특정 경고 업데이트 |
| 일괄 업데이트 경고 | 경고 일괄 처리 업데이트 | |
| 경고 만들기 | 경고 | 고급 헌팅에서 얻은 이벤트 데이터를 기반으로 경고 만들기 |
| 관련 도메인 나열 | 도메인 컬렉션 | 경고와 연결된 URL 나열 |
| 관련 파일 나열 | 파일 컬렉션 | 경고와 연결된 파일 엔터티 나열 |
| 관련 IP 나열 | IP 컬렉션 | 경고와 연결된 IP 나열 |
| 관련 컴퓨터 가져오기 | 컴퓨터 | 경고와 연결된 컴퓨터 |
| 관련 사용자 가져오기 | 사용자 | 경고와 연결된 사용자 |
속성
| 속성 | 유형 | 설명 |
|---|---|---|
| ID | String | 경고 ID입니다. |
| title | String | 경고 제목. |
| description | String | 경고 설명입니다. |
| alertCreationTime | Nullable DateTimeOffset | 경고가 만들어진 날짜 및 시간(UTC)입니다. |
| lastEventTime | Nullable DateTimeOffset | 동일한 디바이스에서 경고를 트리거한 이벤트의 마지막 발생입니다. |
| firstEventTime | Nullable DateTimeOffset | 해당 디바이스에서 경고를 트리거한 이벤트의 첫 번째 발생입니다. |
| lastUpdateTime | Nullable DateTimeOffset | 경고가 마지막으로 업데이트된 날짜 및 시간(UTC)입니다. |
| resolvedTime | Nullable DateTimeOffset | 경고 상태가 해결됨으로 변경 된 날짜 및 시간입니다. |
| incidentId | Nullable Long | 경고의 인시던트 ID입니다. |
| investigationId | Nullable Long | 경고와 관련된 조사 ID입니다. |
| investigationState | Nullable 열거형 | 조사의 현재 상태입니다. 가능한 값은 Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedAlertType, UnsupportedAlertType, SuppressedAlert. |
| assignedTo | String | 경고의 소유자입니다. |
| rbacGroupName | String | 역할 기반 액세스 제어 디바이스 그룹 이름입니다. |
| mitreTechniques | String | Mitre Enterprise 기술 ID입니다. |
| relatedUser | String | 특정 경고와 관련된 사용자의 세부 정보입니다. |
| 심각도 | 열거형 | 경고의 심각도입니다. 가능한 값은 UnSpecified, Informational, Low, Medium 및 High입니다. |
| 상태 | 열거형 | 경고의 현재 상태를 지정합니다. 가능한 값은 알 수 없음, 새로 만들기, InProgress 및 Resolved입니다. |
| 분류 | Nullable 열거형 | 경고의 사양입니다. 가능한 값은 , Informational, expected activity및 FalsePositive입니다TruePositive. |
| 결심 | Nullable 열거형 | 경고의 결정을 지정합니다. 각 분류에 대해 가능한 결정 값은 다음과 같습니다. Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – 그에 따라 Malware 공용 API에서 열거형 이름을 변경하는 것이 좋습니다. (맬웨어), (피싱), PhishingUnwanted software (UnwantedSoftware) 및 Other (기타). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - 그에 따라 공용 API에서 열거형 이름을 변경하는 것이 좋습니다. 및 Other (기타). Not malicious (정리) - (InsufficientData) 및 Other (기타)에 따라 Not enough data to validate 공용 API에서 열거형 이름을 변경하는 것이 좋습니다. |
| 범주 | String | 경고의 범주입니다. |
| detectionSource | String | 검색 원본. |
| threatFamilyName | String | 위협 패밀리. |
| threatName | String | 위협 이름입니다. |
| machineId | String | 경고와 연결된 컴퓨터 엔터티의 ID입니다. |
| computerDnsName | String | 컴퓨터 의 정규화된 이름입니다. |
| aadTenantId | String | Microsoft Entra ID입니다. |
| detectorId | String | 경고를 트리거한 탐지기의 ID입니다. |
| 코멘트 | 경고 주석 목록 | 경고 Comment 개체에는 주석 문자열, createdBy 문자열 및 createTime 날짜 시간이 포함됩니다. |
| 증거 | 경고 증거 목록 | 경고와 관련된 증거입니다. 아래 예제를 참고하십시오. |
참고
2022년 8월 29일 경에는 이전에 지원되었던 경고 결정 값(Apt 및 SecurityPersonnel)은 더 이상 사용되지 않으며 API를 통해 더 이상 사용할 수 없습니다.
단일 경고를 가져오기 위한 응답 예제:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
관련 문서
Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.