Udostępnij za pośrednictwem


Typ zasobu alertu

Dotyczy:

Uwaga

Aby uzyskać pełne dostępne środowisko interfejsu API alertów we wszystkich produktach usługi Microsoft Defenders, odwiedź stronę: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w usłudze Microsoft Defender for Endpoint dla klientów rządowych USA.

Porada

Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Metody

Metoda Typ zwracany Opis
Uzyskiwanie alertu Alert Pobieranie pojedynczego obiektu alertu
Wylistuj alerty Kolekcja alertów Wyświetlanie listy kolekcji alertów
Aktualizowanie alertu Alert Aktualizowanie określonego alertu
Aktualizacja alertów partiami Aktualizowanie partii alertów
Utwórz alert Alert Tworzenie alertu na podstawie danych zdarzeń uzyskanych z zaawansowanego wyszukiwania zagrożeń
Wyświetlanie listy powiązanych domen Kolekcja domen Listy adresów URL skojarzonych z alertem
Wyświetlanie listy powiązanych plików Zbieranie plików Wyświetlanie listy jednostek plików skojarzonych z alertem
Listy powiązanych adresów IP Kolekcja adresów IP Wyświetlanie listy adresów IP skojarzonych z alertem
Pobieranie powiązanych maszyn Komputer Maszyna skojarzona z alertem
Uzyskiwanie powiązanych użytkowników Użytkownik Użytkownik skojarzony z alertem

Właściwości

Własność Wpisać Opis
ID Ciąg Identyfikator alertu.
tytuł Ciąg Tytuł alertu.
opis Ciąg Opis alertu.
alertCreationTime DateTimeOffset z możliwością wartości null Data i godzina (w utc) alert został utworzony.
lastEventTime DateTimeOffset z możliwością wartości null Ostatnie wystąpienie zdarzenia, które wyzwoliło alert na tym samym urządzeniu.
firstEventTime DateTimeOffset z możliwością wartości null Pierwsze wystąpienie zdarzenia, które wyzwoliło alert na tym urządzeniu.
lastUpdateTime DateTimeOffset z możliwością wartości null Data i godzina (w utc) alert został ostatnio zaktualizowany.
resolvedTime DateTimeOffset z możliwością wartości null Data i godzina zmiany stanu alertu na Rozwiązano.
incidentId Długi z możliwością wartości null Identyfikator zdarzenia alertu.
investigationId Długi z możliwością wartości null Identyfikator badania związany z alertem.
investigationState Wyliczenie dopuszczane wartością null Bieżący stan badania. Możliwe wartości to: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Ciąg Właściciel alertu.
rbacGroupName Ciąg Nazwa grupy urządzeń kontroli dostępu opartej na rolach.
mitreTechniques Ciąg Identyfikator techniki Mitre Enterprise.
relatedUser Ciąg Szczegóły użytkownika związane z określonym alertem.
dotkliwość Wyliczenie Ważność alertu. Możliwe wartości to: Niespecyfikowane, Informacyjne, Niskie, Średnie i Wysokie.
stan Wyliczenie Określa bieżący stan alertu. Możliwe wartości to: Nieznany, Nowy, InProgress i Rozwiązane.
klasyfikacja Wyliczenie dopuszczane wartością null Specyfikacja alertu. Możliwe wartości to: TruePositive, Informational, expected activity, i FalsePositive.
determinacja Wyliczenie dopuszczane wartością null Określa określenie alertu.

Możliwe wartości określania dla każdej klasyfikacji to:

  • Wynik prawdziwie dodatni: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API( Malware Malware), (Phishing), PhishingUnwanted software (UnwantedSoftware) i Other (Inne).
  • Działanie informacyjne, oczekiwane:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API i Other (Inne).
  • Wynik fałszywie dodatni:Not malicious (Czyste) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie Not enough data to validate API (InsufficientData) i Other (Inne).
  • kategoria Ciąg Kategoria alertu.
    detectionSource Ciąg Źródło wykrywania.
    threatFamilyName Ciąg Rodzina zagrożeń.
    threatName Ciąg Nazwa zagrożenia.
    machineId Ciąg Identyfikator jednostki maszyny skojarzonej z alertem.
    computerDnsName Ciąg w pełni kwalifikowana nazwa maszyny.
    aadTenantId Ciąg Identyfikator Entra firmy Microsoft.
    detectorId Ciąg Identyfikator detektora, który wyzwolił alert.
    Komentarze Lista komentarzy alertów Obiekt komentarza alertu zawiera ciąg komentarza, ciąg createdBy i createTime date time.
    Dowód Lista dowodów alertów Dowody związane z alertem. Zobacz poniższy przykład.

    Uwaga

    Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów (Apt i SecurityPersonnel) będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.

    Przykład odpowiedzi dotyczący uzyskiwania pojedynczego alertu:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn

    Porada

    Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.