Type waarschuwingsresource
Van toepassing op:
Notitie
Ga voor de volledige ervaring met de waarschuwingen-API voor alle Microsoft Defenders-producten naar: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Notitie
Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.
Tip
Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Methode | Retourtype | Beschrijving |
---|---|---|
Waarschuwing ontvangen | Waarschuwingsweergave | Eén waarschuwingsobject ophalen |
Lijstwaarschuwingen | Waarschuwingsverzameling | Verzameling waarschuwingen weergeven |
Waarschuwing bijwerken | Waarschuwingsweergave | Specifieke waarschuwing bijwerken |
Waarschuwingen over batch-update | Een batch met waarschuwingen bijwerken | |
Waarschuwing maken | Waarschuwingsweergave | Een waarschuwing maken op basis van gebeurtenisgegevens die zijn verkregen van Advanced Hunting |
Gerelateerde domeinen weergeven | Domeinverzameling | URL's weergeven die zijn gekoppeld aan de waarschuwing |
Gerelateerde bestanden weergeven | Bestandsverzameling | De bestandsentiteiten vermelden die zijn gekoppeld aan de waarschuwing |
Gerelateerde IP-adressen weergeven | IP-verzameling | IP-adressen vermelden die zijn gekoppeld aan de waarschuwing |
Gerelateerde machines ophalen | Computer | De computer die aan de waarschuwing is gekoppeld |
Gerelateerde gebruikers ophalen | Gebruiker | De gebruiker die is gekoppeld aan de waarschuwing |
Eigenschap | Type | Beschrijving |
---|---|---|
ID | Tekenreeks | Waarschuwings-id. |
titel | Tekenreeks | Waarschuwingstitel. |
beschrijving | Tekenreeks | Beschrijving van waarschuwing. |
alertCreationTime | Nullable DateTimeOffset | De datum en tijd (in UTC) waarop de waarschuwing is gemaakt. |
lastEventTime | Nullable DateTimeOffset | De laatste gebeurtenis die de waarschuwing op hetzelfde apparaat heeft geactiveerd. |
firstEventTime | Nullable DateTimeOffset | De eerste gebeurtenis die de waarschuwing op dat apparaat heeft geactiveerd. |
lastUpdateTime | Nullable DateTimeOffset | De datum en tijd (in UTC) waarop de waarschuwing voor het laatst is bijgewerkt. |
resolvedTime | Nullable DateTimeOffset | De datum en tijd waarin de status van de waarschuwing is gewijzigd in Opgelost. |
incidentId | Nullable Long | De incident-id van de waarschuwing. |
investigationId | Nullable Long | De onderzoeks-id met betrekking tot de waarschuwing. |
investigationState | Nullable Enum | De huidige status van het onderzoek. Mogelijke waarden zijn: Onbekend, Beëindigd, Succesvol Hersteld, Goedaardig, Mislukt, Gedeeltelijk Hersteld, Wordt uitgevoerd, In behandeling,PendingResource, Gedeeltelijk Onderzocht, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
assignedTo | Tekenreeks | Eigenaar van de waarschuwing. |
rbacGroupName | Tekenreeks | Naam van apparaatgroep op basis van op rollen gebaseerd toegangsbeheer. |
mitreTechniques | Tekenreeks | Mitre Enterprise-techniek-id. |
relatedUser | Tekenreeks | Details van de gebruiker met betrekking tot een specifieke waarschuwing. |
strengheid | Opsomming | Ernst van de waarschuwing. Mogelijke waarden zijn: Niet opgegeven, Informatief, Laag, Gemiddeld en Hoog. |
status | Opsomming | Hiermee geeft u de huidige status van de waarschuwing. Mogelijke waarden zijn: Onbekend, Nieuw, InProgress en Opgelost. |
classificatie | Nullable Enum | Specificatie van de waarschuwing. Mogelijke waarden zijn: TruePositive , Informational, expected activity en FalsePositive . |
vastberadenheid | Nullable Enum | Hiermee geeft u de bepaling van de waarschuwing. Mogelijke bepalingswaarden voor elke classificatie zijn: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, Malware (Malware), Phishing (Phishing), Unwanted software (OngewensteSoftware) en Other (Overige). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, en Other (Overige). Not malicious (Schoon) - overweeg de naam van de enum in de openbare API dienovereenkomstig te wijzigen, Not enough data to validate (InsufficientData) en Other (Overige). |
categorie | Tekenreeks | Categorie van de waarschuwing. |
detectionSource | Tekenreeks | Detectiebron. |
threatFamilyName | Tekenreeks | Bedreigingsfamilie. |
threatName | Tekenreeks | Bedreigingsnaam. |
machineId | Tekenreeks | Id van een machineentiteit die is gekoppeld aan de waarschuwing. |
computerDnsName | Tekenreeks | volledig gekwalificeerde machinenaam . |
aadTenantId | Tekenreeks | De Microsoft Entra-id. |
detectorId | Tekenreeks | De id van de detector die de waarschuwing heeft geactiveerd. |
Opmerkingen | Lijst met waarschuwingsopmerkingen | Het waarschuwingsopmerkingsobject bevat: opmerkingstekenreeks, createdBy-tekenreeks en createTime date time. |
Bewijs | Lijst met waarschuwingsmateriaal | Bewijs met betrekking tot de waarschuwing. Zie het volgende voorbeeld. |
Notitie
Rond 29 augustus 2022 worden eerder ondersteunde waarschuwingsbepalingswaarden (Apt en SecurityPersonnel) afgeschaft en niet meer beschikbaar via de API.
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.