API de Alertas
A API de Alertas fornece-lhe informações sobre riscos imediatos identificados por Defender para Aplicativos de Nuvem que necessitam de atenção. Os alertas podem resultar de padrões de utilização suspeitos ou de ficheiros que contenham conteúdo que viole a política da empresa.
O seguinte lista os pedidos suportados:
- Listar alertas
- Fechar benigno
- Fechar falso positivo
- Fechar verdadeiro positivo
- Obter alerta
- Marcar alerta como lido
- Marcar alerta como não lido
A tabela seguinte lista os pedidos preteridos como obsoletos e os pedidos que os substituem.
Pedido obsoleto | Alternativa |
---|---|
Dispensar em massa | Fechar falso positivo |
Resolve em massa | Fechar verdadeiro positivo |
Dispensar alerta | Fechar falso positivo |
Observação
Os pedidos preteridos foram mapeados para as suas alternativas para evitar perturbações. No entanto, se estiver a utilizar pedidos obsoletos no seu ambiente, recomendamos que os atualize para as respetivas alternativas.
O objeto de resposta define as seguintes propriedades.
Propriedade | Tipo | Descrição |
---|---|---|
_id | int | Identificador do tipo de alerta |
Carimbo de data/hora | long | Carimbo de data/hora de quando o alerta foi gerado |
entidades | list | Uma lista de entidades relacionadas com o alerta |
title | string | O título do alerta |
description | string | Descrição do alerta |
isMarkdown | bool | Sinalizador para indicar se a descrição do alerta já está em HTML |
statusValue | int | O estado do alerta. Os valores possíveis incluem: 0: NÃO LIDO 1: LER 2: ARQUIVADO |
severityValue | int | A gravidade do alerta. Os valores possíveis incluem: 0: BAIXA 1: MÉDIO 2: ALTO 3: INFORMATIVO |
resolutionStatusValue | int | O alerta está status. Os valores possíveis incluem: 0: ABRIR 1: DISPENSADO 2: RESOLVIDO 3: FALSE_POSITIVE 4: BENIGNO 5: TRUE_POSITIVE |
histórias | list | Categoria de risco. Os valores possíveis incluem: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: CONFORMIDADE 3: DLP 4: DETEÇÃO 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
provas | list | Lista de descrições breves de main partes do alerta |
finalidade | list | Um campo que especifica a intenção relacionada com a cadeia de eliminação por trás do alerta. Podem ser comunicados múltiplos valores neste campo. Os valores de enumeração da intenção seguem o modelo mitre att@ck matriz empresarial. Pode encontrar mais orientações sobre as diferentes técnicas que compõem cada intenção na documentação da MITRE. Os valores possíveis incluem: 0: DESCONHECIDO 1: PRÉ-ATAQUE 2: INITIAL_ACCESS 3: PERSISTÊNCIA 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: DETEÇÃO 8: LATERAL_MOVEMENT 9: EXECUÇÃO 10: COLEÇÃO 11: EXFILTRAÇÃO 12: COMMAND_AND_CONTROL 13: IMPACTO |
isPreview | bool | Alertas que foram recentemente lançados como Disponibilidade Geral |
auditorias (opcional) | list | Lista de IDs de eventos relacionados com o alerta |
threatScore | int | Prioridade de investigação do utilizador |
Para obter informações sobre como funcionam os filtros, consulte Filtros.
A tabela seguinte descreve os filtros suportados:
Filter | Tipo | Operadores | Descrição |
---|---|---|---|
entity.entity | pk de entidade | eq,neq | Filtrar alertas relacionados com entidades especificadas. Exemplo: [{ "id": "entity-id", "inst": 0 }] |
entity.ip | string | eq, neq | Filtrar alertas relacionados com endereços IP especificados |
entity.service | inteiro | eq, neq | Filtrar alertas relacionados com o appId do serviço especificado, por exemplo: 11770 |
entity.instance | inteiro | eq, neq | Filtrar alertas relacionados com as instâncias especificadas, por exemplo: 11770, 1059065 |
entity.policy | string | eq, neq | Filtrar alertas relacionados com as políticas especificadas |
entity.file | string | eq, neq | Filtrar alertas relacionados com o ficheiro especificado |
alertaAbrir | booliano | eq | Se definido como verdadeiro, devolve apenas alertas abertos, se definido como falso, devolve apenas alertas fechados |
severity | inteiro | eq, neq | Filtrar por gravidade. Os valores possíveis incluem: 0: Baixa 1: Médio 2: Alto |
resolutionStatus | inteiro | eq, neq | Filtrar por resolução de alertas status, os valores possíveis incluem: 0: Abrir 1: Dispensado (status legado) 2: Resolvido (status legado) 3: Fechado como falso positivo 4: Fechado como benigno 5: Fechado como verdadeiro positivo |
leitura | booliano | eq | Se definido como verdadeiro, devolve apenas alertas de leitura, se definido como falso, devolve alertas não lidos |
data | Carimbo de data/hora | lte, gte, intervalo, lte_ndays, gte_ndays | Filtrar quando um alerta foi acionado |
resolutionDate | Carimbo de data/hora | lte, gte, intervalo | Filtrar quando um alerta foi resolvido |
risco | inteiro | eq, neq | Filtrar por risco |
alertType | inteiro | eq, neq | Filtrar por tipo de alerta |
ID | cadeia de caracteres | eq, neq | Filtrar por IDs de alerta |
source | string | eq | A origem do alerta, incorporada ou política |
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.