Les på engelsk

Del via


Varselressurstype

Gjelder for:

Obs!

Hvis du vil ha den fullstendige API-opplevelsen for varsler på tvers av alle Produktene til Microsoft Defenders, kan du gå til: Bruk Microsoft Graph-sikkerhets-API -en – Microsoft Graph | Microsoft Learn.

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Obs!

Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for Endpoint for US Government-kunder.

Tips

Hvis du vil ha bedre ytelse, kan du bruke serveren nærmere geografisk plassering:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Metoder

Metode Returtype Beskrivelse
Få varsel Varsel Få ett enkelt varselobjekt
Vis varsler Varselsamling Listevarslingssamling
Oppdater varsel Varsel Oppdater bestemt varsel
Varsler om satsvis oppdatering Oppdatere en gruppe med varsler
Opprett varsel Varsel Opprette et varsel basert på hendelsesdata hentet fra Avansert jakt
List opp relaterte domener Domenesamling Liste over URL-adresser som er knyttet til varselet
Vis relaterte filer Filsamling List opp filenheter som er knyttet til varselet
Listerelaterte IP-er IP-samling Liste-IP-er som er knyttet til varselet
Få relaterte maskiner Maskin Maskinen som er knyttet til varselet
Få relaterte brukere Bruker Brukeren som er knyttet til varselet

Egenskaper

Eiendom Type: Beskrivelse
ID Streng Varsel-ID.
tittel Streng Varseltittel.
beskrivelse Streng Varselbeskrivelse.
alertCreationTime Nullbart DateTimeOffset Datoen og klokkeslettet (i UTC) varselet ble opprettet.
lastEventTime Nullbart DateTimeOffset Den siste forekomsten av hendelsen som utløste varselet på samme enhet.
firstEventTime Nullbart DateTimeOffset Den første forekomsten av hendelsen som utløste varselet på den enheten.
lastUpdateTime Nullbart DateTimeOffset Datoen og klokkeslettet (i UTC) varselet ble sist oppdatert.
resolvedTime Nullbart DateTimeOffset Datoen og klokkeslettet da statusen for varselet ble endret til Løst.
incidentId Langt nullstillbart Hendelses-ID-en for varselet.
investigationId Langt nullstillbart Undersøkelses-ID-en som er relatert til varselet.
investigationState Opplisting som kan nullstilles Den nåværende tilstanden til etterforskningen. Mulige verdier er: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Streng Eier av varselet.
rbacGroupName Streng Rollebasert gruppenavn for tilgangskontrollenhet.
mitreTechniques Streng Teknikk-ID for Mitre Enterprise.
relatedUser Streng Detaljer om bruker som er relatert til et bestemt varsel.
Alvorlighetsgraden Opplisting Alvorsgraden for varselet. Mulige verdier er: Uspesifikk, informasjon, lav, middels og høy.
status Opplisting Angir gjeldende status for varselet. Mulige verdier er: Ukjent, Ny, InProgress og Løst.
klassifisering Opplisting som kan nullstilles Spesifikasjon av varselet. Mulige verdier er: TruePositive, Informational, expected activityog FalsePositive.
bestemmelse Opplisting som kan nullstilles Angir varselets bestemmelse.

Mulige fastsettelsesverdier for hver klassifisering er:

  • Sann positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – vurder å endre opplistingsnavnet i offentlig API tilsvarende Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) og Other (Annet).
  • Informasjon, forventet aktivitet:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – vurder å endre nummereringsnavnet i offentlig API tilsvarende, og Other (Annet).
  • Falsk positiv:Not malicious (Ren) – vurder å endre opplistingsnavnet i offentlig API tilsvarende Not enough data to validate (InsufficientData) og Other (Annet).
  • kategori Streng Kategori for varselet.
    detectionSource Streng Gjenkjenningskilde.
    threatFamilyName Streng Trusselfamilie.
    threatName Streng Trusselnavn.
    machineId Streng ID for en maskinenhet som er knyttet til varselet.
    computerDnsName Streng fullstendig kvalifisert navn på maskinen.
    aadTenantId Streng Microsoft Entra-ID-en.
    detectorId Streng ID-en til detektoren som utløste varselet.
    Kommentarer Liste over varselkommentarer Objekt for varselkommentar inneholder: kommentarstreng, createdBy-streng og createTime-datotidspunkt.
    Bevis Liste over bevis for varsel Bevis relatert til varselet. Se eksemplet nedenfor.

    Obs!

    Rundt 29. august 2022 vil tidligere støttede verdier for varslingsbestemmelser (Apt og SecurityPersonnel) bli avskrevet og ikke lenger tilgjengelig via API-en.

    Svareksempel for å få enkelt varsel:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Bruk Microsoft Graph-sikkerhets-API -en – Microsoft Graph | Microsoft Learn

    Tips

    Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.