Tipo de recurso de alerta
Aplica-se a:
Observação
Para obter a experiência completa da API de Alertas disponíveis em todos os produtos do Microsoft Defenders, visite: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Observação
Se for um cliente do Us Government, utilize os URIs listados no Microsoft Defender para Endpoint para clientes do Us Government.
Dica
Para um melhor desempenho, pode utilizar o servidor mais próximo da localização geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| Obter alerta | Alerta | Obter um único objeto de alerta |
| Listar alertas | Coleção de alertas | Listar coleção de alertas |
| Atualizar alertas | Alerta | Atualizar alerta específico |
| Alertas de atualização em lote | Atualizar um lote de alertas | |
| Criar alerta | Alerta | Criar um alerta com base nos dados de eventos obtidos a partir da Investigação Avançada |
| Listar domínios relacionados | Coleção de domínios | Listar URLs associados ao alerta |
| Listar ficheiros relacionados | Coleção de ficheiros | Listar as entidades de ficheiro associadas ao alerta |
| Listar IPs relacionados | Coleção de IP | Listar IPs associados ao alerta |
| Obter máquinas relacionadas | Computador | O computador que está associado ao alerta |
| Obter utilizadores relacionados | Usuário | O utilizador que está associado ao alerta |
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| ID | Cadeia de caracteres | ID do alerta. |
| title | String | Título do alerta. |
| description | String | Descrição de alerta. |
| alertCreationTime | Nullable DateTimeOffset | A data e hora (em UTC) em que o alerta foi criado. |
| lastEventTime | Nullable DateTimeOffset | A última ocorrência do evento que acionou o alerta no mesmo dispositivo. |
| firstEventTime | Nullable DateTimeOffset | A primeira ocorrência do evento que acionou o alerta nesse dispositivo. |
| lastUpdateTime | Nullable DateTimeOffset | A data e hora (em UTC) em que o alerta foi atualizado pela última vez. |
| resolvedTime | Nullable DateTimeOffset | A data e hora em que o estado do alerta foi alterado para Resolvido. |
| incidentId | Anulável Longo | O ID do Incidente do Alerta. |
| investigationId | Anulável Longo | O ID da Investigação relacionado com o Alerta. |
| investigationState | Enumeração Anulável | O estado atual da Investigação. Os valores possíveis são: Unknown, Terminated, SuccessfullyRemediated, Benign,Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| assignedTo | Cadeia de caracteres | Proprietário do alerta. |
| rbacGroupName | Cadeia de caracteres | Nome do grupo de dispositivos do controlo de acesso baseado em funções. |
| mitreTechniques | Cadeia de caracteres | ID da técnica mitre Enterprise. |
| relatedUser | Cadeia de caracteres | Detalhes do utilizador relacionados com um alerta específico. |
| severity | Enum | Gravidade do alerta. Os valores possíveis são: Não Especificado, Informativo, Baixo, Médio e Alto. |
| status | Enum | Especifica o estado atual do alerta. Os valores possíveis são: Desconhecido, Novo, Entrada e Resolvido. |
| classificação | Enumeração Anulável | Especificação do alerta. Os valores possíveis são: TruePositive, Informational, expected activitye FalsePositive. |
| determinação | Enumeração Anulável | Especifica a determinação do alerta. Os valores de determinação possíveis para cada classificação são: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – considere alterar o nome da enumeração na API pública em conformidade, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Outro). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - considere alterar o nome da enumeração na API pública em conformidade e Other (Outro). Not malicious (Limpo) – considere alterar o nome da enumeração na API pública em conformidade, Not enough data to validate (InsufficientData) e Other (Outro). |
| category | Cadeia de caracteres | Categoria do alerta. |
| detectionSource | Cadeia de caracteres | Origem de deteção. |
| threatFamilyName | Cadeia de caracteres | Família de ameaças. |
| threatName | Cadeia de caracteres | Nome da ameaça. |
| machineId | Cadeia de caracteres | ID de uma entidade de computador que está associada ao alerta. |
| computerDnsName | Cadeia de caracteres | nome completamente qualificado do computador. |
| aadTenantId | Cadeia de caracteres | O ID do Microsoft Entra. |
| detectorId | Cadeia de caracteres | O ID do detetor que acionou o alerta. |
| comentários | Lista de comentários de Alerta | O objeto Comentário de Alerta contém: cadeia de comentário, createdBy string e createTime date time. |
| Evidências | Lista de provas de Alerta | Provas relacionadas com o alerta. Confira o seguinte exemplo: |
Observação
Por volta de 29 de agosto de 2022, os valores de determinação de alertas (Apt e Pessoal de Segurança) anteriormente suportados serão preteridos e deixarão de estar disponíveis através da API.
Exemplo de resposta para obter um único alerta:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
Artigos relacionados
Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.