Ler em inglês

Compartilhar via


API de Alertas

A API de Alertas fornece-lhe informações sobre riscos imediatos identificados por Defender para Aplicativos de Nuvem que necessitam de atenção. Os alertas podem resultar de padrões de utilização suspeitos ou de ficheiros que contenham conteúdo que viole a política da empresa.

O seguinte lista os pedidos suportados:

Pedidos preteridos

A tabela seguinte lista os pedidos preteridos como obsoletos e os pedidos que os substituem.

Pedido obsoleto Alternativa
Dispensar em massa Fechar falso positivo
Resolve em massa Fechar verdadeiro positivo
Dispensar alerta Fechar falso positivo

Observação

Os pedidos preteridos foram mapeados para as suas alternativas para evitar perturbações. No entanto, se estiver a utilizar pedidos obsoletos no seu ambiente, recomendamos que os atualize para as respetivas alternativas.

Propriedades

O objeto de resposta define as seguintes propriedades.

Propriedade Tipo Descrição
_id int Identificador do tipo de alerta
Carimbo de data/hora long Carimbo de data/hora de quando o alerta foi gerado
entidades list Uma lista de entidades relacionadas com o alerta
title string O título do alerta
description string Descrição do alerta
isMarkdown bool Sinalizador para indicar se a descrição do alerta já está em HTML
statusValue int O estado do alerta. Os valores possíveis incluem:

0: NÃO LIDO
1: LER
2: ARQUIVADO
severityValue int A gravidade do alerta. Os valores possíveis incluem:

0: BAIXA
1: MÉDIO
2: ALTO
3: INFORMATIVO
resolutionStatusValue int O alerta está status. Os valores possíveis incluem:

0: ABRIR
1: DISPENSADO
2: RESOLVIDO
3: FALSE_POSITIVE
4: BENIGNO
5: TRUE_POSITIVE
histórias list Categoria de risco. Os valores possíveis incluem:

0: THREAT_DETECTION
1: PRIVILEGED_ACCOUNT_MONITORING
2: CONFORMIDADE
3: DLP
4: DETEÇÃO
5: SHARING_CONTROL
7: ACCESS_CONTROL
8: CONFIGURATION_MONITORING
provas list Lista de descrições breves de main partes do alerta
finalidade list Um campo que especifica a intenção relacionada com a cadeia de eliminação por trás do alerta. Podem ser comunicados múltiplos valores neste campo. Os valores de enumeração da intenção seguem o modelo mitre att@ck matriz empresarial. Pode encontrar mais orientações sobre as diferentes técnicas que compõem cada intenção na documentação da MITRE.
Os valores possíveis incluem:

0: DESCONHECIDO
1: PRÉ-ATAQUE
2: INITIAL_ACCESS
3: PERSISTÊNCIA
4: PRIVILEGE_ESCALATION
5: DEFENSE_EVASION
6: CREDENTIAL_ACCESS
7: DETEÇÃO
8: LATERAL_MOVEMENT
9: EXECUÇÃO
10: COLEÇÃO
11: EXFILTRAÇÃO
12: COMMAND_AND_CONTROL
13: IMPACTO
isPreview bool Alertas que foram recentemente lançados como Disponibilidade Geral
auditorias (opcional) list Lista de IDs de eventos relacionados com o alerta
threatScore int Prioridade de investigação do utilizador

Filtros

Para obter informações sobre como funcionam os filtros, consulte Filtros.

A tabela seguinte descreve os filtros suportados:

Filter Tipo Operadores Descrição
entity.entity pk de entidade eq,neq Filtrar alertas relacionados com entidades especificadas. Exemplo: [{ "id": "entity-id", "inst": 0 }]
entity.ip string eq, neq Filtrar alertas relacionados com endereços IP especificados
entity.service inteiro eq, neq Filtrar alertas relacionados com o appId do serviço especificado, por exemplo: 11770
entity.instance inteiro eq, neq Filtrar alertas relacionados com as instâncias especificadas, por exemplo: 11770, 1059065
entity.policy string eq, neq Filtrar alertas relacionados com as políticas especificadas
entity.file string eq, neq Filtrar alertas relacionados com o ficheiro especificado
alertaAbrir booliano eq Se definido como verdadeiro, devolve apenas alertas abertos, se definido como falso, devolve apenas alertas fechados
severity inteiro eq, neq Filtrar por gravidade. Os valores possíveis incluem:

0: Baixa
1: Médio
2: Alto
resolutionStatus inteiro eq, neq Filtrar por resolução de alertas status, os valores possíveis incluem:

0: Abrir
1: Dispensado (status legado)
2: Resolvido (status legado)
3: Fechado como falso positivo
4: Fechado como benigno
5: Fechado como verdadeiro positivo
leitura booliano eq Se definido como verdadeiro, devolve apenas alertas de leitura, se definido como falso, devolve alertas não lidos
data Carimbo de data/hora lte, gte, intervalo, lte_ndays, gte_ndays Filtrar quando um alerta foi acionado
resolutionDate Carimbo de data/hora lte, gte, intervalo Filtrar quando um alerta foi resolvido
risco inteiro eq, neq Filtrar por risco
alertType inteiro eq, neq Filtrar por tipo de alerta
ID cadeia de caracteres eq, neq Filtrar por IDs de alerta
source string eq A origem do alerta, incorporada ou política

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.