Lezen in het Engels

Delen via


Waarschuwingen-API

De Waarschuwingen-API biedt u informatie over directe risico's die zijn geïdentificeerd door Defender for Cloud Apps die aandacht vereisen. Waarschuwingen kunnen het gevolg zijn van verdachte gebruikspatronen of van bestanden die inhoud bevatten die in strijd is met het bedrijfsbeleid.

Hieronder vindt u een lijst met de ondersteunde aanvragen:

Afgeschafte aanvragen

De volgende tabel bevat de aanvragen die zijn afgeschaft als verouderd en de aanvragen die deze vervangen.

Verouderde aanvraag Alternatief
Bulksgewijs sluiten Fout-positief sluiten
Bulksgewijs oplossen Sluit true positive
Waarschuwing sluiten Fout-positief sluiten

Notitie

De afgeschafte aanvragen zijn toegewezen aan hun alternatieven om onderbrekingen te voorkomen. Als u echter verouderde aanvragen in uw omgeving gebruikt, raden we u aan deze bij te werken naar hun alternatieven.

Eigenschappen

Het antwoordobject definieert de volgende eigenschappen.

Eigenschap Type Beschrijving
_legitimatiebewijs int Waarschuwingstype-id
tijdstempel lang Tijdstempel van wanneer de waarschuwing is gegenereerd
Entiteiten lijst Een lijst met entiteiten met betrekking tot de waarschuwing
titel tekenreeks De titel van de waarschuwing
beschrijving reeks Beschrijving van de waarschuwing
isMarkdown Bool Vlag om aan te geven of de beschrijving van de waarschuwing al in HTML staat
statusValue int De status van de waarschuwing. Mogelijke waarden zijn:

0: ONGELEZEN
1: LEZEN
2: GEARCHIVEERD
ernstwaarde int De ernst van de waarschuwing. Mogelijke waarden zijn:

0: LAAG
1: GEMIDDELD
2: HOOG
3: INFORMATIE
resolutionStatusValue int De status van de waarschuwing. Mogelijke waarden zijn:

0: OPEN
1: ONTSLAGEN
2: OPGELOST
3: FALSE_POSITIVE
4: GOEDAARDIG
5: TRUE_POSITIVE
Verhalen lijst Risicocategorie. Mogelijke waarden zijn:

0: THREAT_DETECTION
1: PRIVILEGED_ACCOUNT_MONITORING
2: NALEVING
3: DLP
4: DETECTIE
5: SHARING_CONTROL
7: ACCESS_CONTROL
8: CONFIGURATION_MONITORING
bewijs lijst Lijst met korte beschrijvingen van de belangrijkste onderdelen van de waarschuwing
bedoeling lijst Een veld dat de intentie van de kill chain achter de waarschuwing aangeeft. In dit veld kunnen meerdere waarden worden gerapporteerd. De opsommingswaarden voor intenties volgen het MITRE-att@ck ondernemingsmatrixmodel. Meer informatie over de verschillende technieken waaruit elke intentie bestaat, vindt u in de documentatie van MITRE.
Mogelijke waarden zijn:

0: ONBEKEND
1: PREATTACK
2: INITIAL_ACCESS
3: PERSISTENTIE
4: PRIVILEGE_ESCALATION
5: DEFENSE_EVASION
6: CREDENTIAL_ACCESS
7: DETECTIE
8: LATERAL_MOVEMENT
9: UITVOERING
10: VERZAMELING
11: EXFILTRATIE
12:COMMAND_AND_CONTROL
13: IMPACT
isPreview Bool Waarschuwingen die onlangs zijn uitgebracht als GA
audits (optioneel) lijst Lijst met gebeurtenis-id's die zijn gerelateerd aan de waarschuwing
threatScore int Prioriteit gebruikersonderzoek

Filters

Zie Filters voor meer informatie over de werking van filters.

In de volgende tabel worden de ondersteunde filters beschreven:

Filter Type Exploitanten Beschrijving
entity.entity entiteit pk eq,neq Filter waarschuwingen met betrekking tot opgegeven entiteiten. Voorbeeld: [{ "id": "entity-id", "inst": 0 }]
entity.ip tekenreeks eq, neq Waarschuwingen filteren met betrekking tot opgegeven IP-adressen
entity.service geheel getal eq, neq Filter waarschuwingen met betrekking tot de opgegeven service-appId, bijvoorbeeld: 11770
entity.instance geheel getal eq, neq Filter waarschuwingen met betrekking tot de opgegeven exemplaren, bijvoorbeeld: 11770, 1059065
entity.policy tekenreeks eq, neq Waarschuwingen filteren met betrekking tot het opgegeven beleid
entity.file tekenreeks eq, neq Waarschuwingen filteren met betrekking tot het opgegeven bestand
alertOpenen booleaans Eq Als deze optie is ingesteld op waar, worden alleen geopende waarschuwingen geretourneerd, als deze is ingesteld op onwaar, worden alleen gesloten waarschuwingen geretourneerd
strengheid geheel getal eq, neq Filteren op ernst. Mogelijke waarden zijn:

0: Laag
1: gemiddeld
2: Hoog
resolutionStatus geheel getal eq, neq Filteren op status van waarschuwingsresolutie, mogelijke waarden zijn:

0: Openen
1: Verwijderd (verouderde status)
2: Opgelost (verouderde status)
3: Gesloten als fout-positief
4: Gesloten als goedaardig
5: Gesloten als waar positief
lezen booleaans Eq Als deze optie is ingesteld op waar, retourneert alleen leeswaarschuwingen, indien ingesteld op onwaar, worden ongelezen waarschuwingen geretourneerd
datum tijdstempel lte, gte, bereik, lte_ndays, gte_ndays Filteren op het tijdstip waarop een waarschuwing is geactiveerd
resolutionDate tijdstempel lte, gte, bereik Filteren op het tijdstip waarop een waarschuwing is opgelost
risico geheel getal eq, neq Filteren op risico
alertType geheel getal eq, neq Filteren op waarschuwingstype
ID tekenreeks eq, neq Filteren op waarschuwings-id's
bron reeks Eq De oorsprong van de waarschuwing, ingebouwd of beleid

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.