경고 리소스 종류

적용 대상:

참고

모든 Microsoft Defender 제품에서 사용 가능한 전체 경고 API 환경은 다음을 참조하세요. Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn.

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

참고

미국 정부 고객인 경우 미국 정부 고객용 엔드포인트용 Microsoft Defender에 나열된 URI를 사용하세요.

성능을 향상시키려면 서버를 지리적 위치에 더 가깝게 사용할 수 있습니다.

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

메서드

메서드 반환 형식 설명
경고 가져오기 경고 단일 경고 개체 가져오기
경고 목록 경고 컬렉션 경고 컬렉션 나열
경고 업데이트 경고 특정 경고 업데이트
일괄 업데이트 경고 경고 일괄 처리 업데이트
경고 만들기 경고 고급 헌팅에서 얻은 이벤트 데이터를 기반으로 경고 만들기
관련 도메인 나열 도메인 컬렉션 경고와 연결된 URL 나열
관련 파일 나열 파일 컬렉션 경고와 연결된 파일 엔터티 나열
관련 IP 나열 IP 컬렉션 경고와 연결된 IP 나열
관련 컴퓨터 가져오기 컴퓨터 경고와 연결된 컴퓨터
관련 사용자 가져오기 사용자 경고와 연결된 사용자

속성

속성 유형 설명
ID String 경고 ID입니다.
title String 경고 제목.
description String 경고 설명입니다.
alertCreationTime Nullable DateTimeOffset 경고가 만들어진 날짜 및 시간(UTC)입니다.
lastEventTime Nullable DateTimeOffset 동일한 디바이스에서 경고를 트리거한 이벤트의 마지막 발생입니다.
firstEventTime Nullable DateTimeOffset 해당 디바이스에서 경고를 트리거한 이벤트의 첫 번째 발생입니다.
lastUpdateTime Nullable DateTimeOffset 경고가 마지막으로 업데이트된 날짜 및 시간(UTC)입니다.
resolvedTime Nullable DateTimeOffset 경고 상태가 해결됨으로 변경 날짜 및 시간입니다.
incidentId Nullable Long 경고의 인시던트 ID입니다.
investigationId Nullable Long 경고와 관련된 조사 ID입니다.
investigationState Nullable 열거형 조사의 현재 상태입니다. 가능한 값은 Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedAlertType, UnsupportedAlertType, SuppressedAlert.
assignedTo String 경고의 소유자입니다.
rbacGroupName String 역할 기반 액세스 제어 디바이스 그룹 이름입니다.
mitreTechniques String Mitre Enterprise 기술 ID입니다.
relatedUser String 특정 경고와 관련된 사용자의 세부 정보입니다.
심각도 열거형 경고의 심각도입니다. 가능한 값은 UnSpecified, Informational, Low, MediumHigh입니다.
상태 열거형 경고의 현재 상태를 지정합니다. 가능한 값은 알 수 없음, 새로 만들기, InProgressResolved입니다.
분류 Nullable 열거형 경고의 사양입니다. 가능한 값은 , Informational, expected activityFalsePositive입니다TruePositive.
결심 Nullable 열거형 경고의 결정을 지정합니다.

각 분류에 대해 가능한 결정 값은 다음과 같습니다.

  • True positive: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – 그에 따라 Malware 공용 API에서 열거형 이름을 변경하는 것이 좋습니다. (맬웨어), (피싱), PhishingUnwanted software (UnwantedSoftware) 및 Other (기타).
  • 정보, 예상 활동:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - 그에 따라 공용 API에서 열거형 이름을 변경하는 것이 좋습니다. 및 Other (기타).
  • 가양성:Not malicious (정리) - (InsufficientData) 및 Other (기타)에 따라 Not enough data to validate 공용 API에서 열거형 이름을 변경하는 것이 좋습니다.
  • 범주 String 경고의 범주입니다.
    detectionSource String 검색 원본.
    threatFamilyName String 위협 패밀리.
    threatName String 위협 이름입니다.
    machineId String 경고와 연결된 컴퓨터 엔터티의 ID입니다.
    computerDnsName String 컴퓨터 의 정규화된 이름입니다.
    aadTenantId String Microsoft Entra ID입니다.
    detectorId String 경고를 트리거한 탐지기의 ID입니다.
    코멘트 경고 주석 목록 경고 Comment 개체에는 주석 문자열, createdBy 문자열 및 createTime 날짜 시간이 포함됩니다.
    증거 경고 증거 목록 경고와 관련된 증거입니다. 아래 예제를 참고하십시오.

    참고

    2022년 8월 29일 경에는 이전에 지원되었던 경고 결정 값(AptSecurityPersonnel)은 더 이상 사용되지 않으며 API를 통해 더 이상 사용할 수 없습니다.

    단일 경고를 가져오기 위한 응답 예제:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn

    더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.