Waarschuwingen-API
De Waarschuwingen-API biedt u informatie over directe risico's die zijn geïdentificeerd door Defender for Cloud Apps die aandacht vereisen. Waarschuwingen kunnen het gevolg zijn van verdachte gebruikspatronen of van bestanden die inhoud bevatten die in strijd is met het bedrijfsbeleid.
Hieronder vindt u een lijst met de ondersteunde aanvragen:
- Lijstwaarschuwingen
- Goedaardig sluiten
- Fout-positief sluiten
- Sluit true positive
- Waarschuwing ophalen
- Waarschuwing markeren als gelezen
- Waarschuwing markeren als ongelezen
De volgende tabel bevat de aanvragen die zijn afgeschaft als verouderd en de aanvragen die deze vervangen.
Verouderde aanvraag | Alternatief |
---|---|
Bulksgewijs sluiten | Fout-positief sluiten |
Bulksgewijs oplossen | Sluit true positive |
Waarschuwing sluiten | Fout-positief sluiten |
Notitie
De afgeschafte aanvragen zijn toegewezen aan hun alternatieven om onderbrekingen te voorkomen. Als u echter verouderde aanvragen in uw omgeving gebruikt, raden we u aan deze bij te werken naar hun alternatieven.
Het antwoordobject definieert de volgende eigenschappen.
Eigenschap | Type | Beschrijving |
---|---|---|
_legitimatiebewijs | int | Waarschuwingstype-id |
tijdstempel | lang | Tijdstempel van wanneer de waarschuwing is gegenereerd |
Entiteiten | lijst | Een lijst met entiteiten met betrekking tot de waarschuwing |
titel | tekenreeks | De titel van de waarschuwing |
beschrijving | reeks | Beschrijving van de waarschuwing |
isMarkdown | Bool | Vlag om aan te geven of de beschrijving van de waarschuwing al in HTML staat |
statusValue | int | De status van de waarschuwing. Mogelijke waarden zijn: 0: ONGELEZEN 1: LEZEN 2: GEARCHIVEERD |
ernstwaarde | int | De ernst van de waarschuwing. Mogelijke waarden zijn: 0: LAAG 1: GEMIDDELD 2: HOOG 3: INFORMATIE |
resolutionStatusValue | int | De status van de waarschuwing. Mogelijke waarden zijn: 0: OPEN 1: ONTSLAGEN 2: OPGELOST 3: FALSE_POSITIVE 4: GOEDAARDIG 5: TRUE_POSITIVE |
Verhalen | lijst | Risicocategorie. Mogelijke waarden zijn: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: NALEVING 3: DLP 4: DETECTIE 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
bewijs | lijst | Lijst met korte beschrijvingen van de belangrijkste onderdelen van de waarschuwing |
bedoeling | lijst | Een veld dat de intentie van de kill chain achter de waarschuwing aangeeft. In dit veld kunnen meerdere waarden worden gerapporteerd. De opsommingswaarden voor intenties volgen het MITRE-att@ck ondernemingsmatrixmodel. Meer informatie over de verschillende technieken waaruit elke intentie bestaat, vindt u in de documentatie van MITRE. Mogelijke waarden zijn: 0: ONBEKEND 1: PREATTACK 2: INITIAL_ACCESS 3: PERSISTENTIE 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: DETECTIE 8: LATERAL_MOVEMENT 9: UITVOERING 10: VERZAMELING 11: EXFILTRATIE 12:COMMAND_AND_CONTROL 13: IMPACT |
isPreview | Bool | Waarschuwingen die onlangs zijn uitgebracht als GA |
audits (optioneel) | lijst | Lijst met gebeurtenis-id's die zijn gerelateerd aan de waarschuwing |
threatScore | int | Prioriteit gebruikersonderzoek |
Zie Filters voor meer informatie over de werking van filters.
In de volgende tabel worden de ondersteunde filters beschreven:
Filter | Type | Exploitanten | Beschrijving |
---|---|---|---|
entity.entity | entiteit pk | eq,neq | Filter waarschuwingen met betrekking tot opgegeven entiteiten. Voorbeeld: [{ "id": "entity-id", "inst": 0 }] |
entity.ip | tekenreeks | eq, neq | Waarschuwingen filteren met betrekking tot opgegeven IP-adressen |
entity.service | geheel getal | eq, neq | Filter waarschuwingen met betrekking tot de opgegeven service-appId, bijvoorbeeld: 11770 |
entity.instance | geheel getal | eq, neq | Filter waarschuwingen met betrekking tot de opgegeven exemplaren, bijvoorbeeld: 11770, 1059065 |
entity.policy | tekenreeks | eq, neq | Waarschuwingen filteren met betrekking tot het opgegeven beleid |
entity.file | tekenreeks | eq, neq | Waarschuwingen filteren met betrekking tot het opgegeven bestand |
alertOpenen | booleaans | Eq | Als deze optie is ingesteld op waar, worden alleen geopende waarschuwingen geretourneerd, als deze is ingesteld op onwaar, worden alleen gesloten waarschuwingen geretourneerd |
strengheid | geheel getal | eq, neq | Filteren op ernst. Mogelijke waarden zijn: 0: Laag 1: gemiddeld 2: Hoog |
resolutionStatus | geheel getal | eq, neq | Filteren op status van waarschuwingsresolutie, mogelijke waarden zijn: 0: Openen 1: Verwijderd (verouderde status) 2: Opgelost (verouderde status) 3: Gesloten als fout-positief 4: Gesloten als goedaardig 5: Gesloten als waar positief |
lezen | booleaans | Eq | Als deze optie is ingesteld op waar, retourneert alleen leeswaarschuwingen, indien ingesteld op onwaar, worden ongelezen waarschuwingen geretourneerd |
datum | tijdstempel | lte, gte, bereik, lte_ndays, gte_ndays | Filteren op het tijdstip waarop een waarschuwing is geactiveerd |
resolutionDate | tijdstempel | lte, gte, bereik | Filteren op het tijdstip waarop een waarschuwing is opgelost |
risico | geheel getal | eq, neq | Filteren op risico |
alertType | geheel getal | eq, neq | Filteren op waarschuwingstype |
ID | tekenreeks | eq, neq | Filteren op waarschuwings-id's |
bron | reeks | Eq | De oorsprong van de waarschuwing, ingebouwd of beleid |
Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.