Tipo de recurso de alerta
Aplica-se a:
Observação
Para obter a experiência completa de API de Alertas disponível em todos os produtos do Microsoft Defenders, visite: Use a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Observação
Se você for um cliente do governo dos EUA, use as URIs listadas em Microsoft Defender para Ponto de Extremidade para clientes do governo dos EUA.
Dica
Para obter um melhor desempenho, você pode usar o servidor mais próximo da localização geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
Métodos
Método | Tipo de retorno | Descrição |
---|---|---|
Obter alerta | Alerta | Obter um único objeto de alerta |
Listar alertas | Coleção de alertas | Coleção de alertas de lista |
Atualizar alertas | Alerta | Atualizar alerta específico |
Alertas de atualização em lote | Atualizar um lote de alertas | |
Criar alerta | Alerta | Create um alerta com base nos dados de evento obtidos da Caça Avançada |
Listar domínios relacionados | Coleção de domínio | Listar URLs associadas ao alerta |
Listar arquivos relacionados | Coleção de arquivos | Listar as entidades de arquivo associadas ao alerta |
Listar IPs relacionados | Coleção IP | Listar IPs associados ao alerta |
Obter computadores relacionados | Computador | O computador associado ao alerta |
Obter usuários relacionados | Usuário | O usuário associado ao alerta |
Propriedades
Propriedade | Tipo | Descrição |
---|---|---|
ID | Cadeia de caracteres | ID do alerta. |
title | String | Título do alerta. |
description | String | Descrição de alerta. |
alertCreationTime | DateTimeOffset anulável | A data e hora (em UTC) que o alerta foi criado. |
lastEventTime | DateTimeOffset anulável | A última ocorrência do evento que disparou o alerta no mesmo dispositivo. |
firstEventTime | DateTimeOffset anulável | A primeira ocorrência do evento que disparou o alerta naquele dispositivo. |
lastUpdateTime | DateTimeOffset anulável | A data e hora (em UTC) o alerta foi atualizado pela última vez. |
resolvedTime | DateTimeOffset anulável | A data e a hora em que o status do alerta foi alterado para Resolvido. |
incidentId | Nullable Long | A ID do Incidente do Alerta. |
investigationId | Nullable Long | A ID de Investigação relacionada ao Alerta. |
investigationState | Enume anulável | O estado atual da Investigação. Os valores possíveis são: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, ParcialmenteRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuprimidoAlert. |
assignedTo | Cadeia de caracteres | Proprietário do alerta. |
rbacGroupName | Cadeia de caracteres | Nome do grupo de dispositivos de controle de acesso baseado em função. |
mitreTechniques | Cadeia de caracteres | ID de técnica do Mitre Enterprise. |
relatedUser | Cadeia de caracteres | Detalhes do usuário relacionados a um alerta específico. |
severity | Enum | Gravidade do alerta. Os valores possíveis são: não especificados, informativos, baixos, médios e altos. |
status | Enum | Especifica o status atual do alerta. Os valores possíveis são: Desconhecido, Novo, InProgress e Resolvido. |
classificação | Enume anulável | Especificação do alerta. Os valores possíveis são: TruePositive , Informational, expected activity e FalsePositive . |
Determinação | Enume anulável | Especifica a determinação do alerta. Os valores de determinação possíveis para cada classificação são: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – considere alterar o nome de enumeração na API pública de acordo, Malware (Malware), Phishing (Phishing), Unwanted software (IndesejadoSoftware) e Other (Outros). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – considere alterar o nome da enumeração na API pública de acordo e Other (Outros). Not malicious (Limpar) – considere alterar o nome do enumeração na API pública de acordo, Not enough data to validate (InsufficientData) e Other (Outros). |
category | Cadeia de caracteres | Categoria do alerta. |
detectionSource | Cadeia de caracteres | Fonte de detecção. |
threatFamilyName | Cadeia de caracteres | Família de ameaças. |
threatName | Cadeia de caracteres | Nome da ameaça. |
machineId | Cadeia de caracteres | ID de uma entidade de máquina associada ao alerta. |
computerDnsName | Cadeia de caracteres | nome totalmente qualificado do computador. |
aadTenantId | Cadeia de caracteres | O Microsoft Entra ID. |
detectorId | Cadeia de caracteres | A ID do detector que disparou o alerta. |
comentários | Lista de comentários de alerta | Objeto Comentário de Alerta contém: cadeia de comentários, cadeia de caracteres createdBy e hora da data createTime. |
Evidências | Lista de evidências de alerta | Evidências relacionadas ao alerta. Confira o seguinte exemplo: |
Observação
Por volta de 29 de agosto de 2022, os valores de determinação de alerta com suporte anterior (Apt e SecurityPersonnel) serão preteridos e não estarão mais disponíveis por meio da API.
Exemplo de resposta para obter um único alerta:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
Artigos relacionados
Usar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de