Ler em inglês

Partilhar via


API de Alertas

A API de Alertas fornece-lhe informações sobre riscos imediatos identificados por Defender for Cloud Apps que necessitam de atenção. Os alertas podem resultar de padrões de utilização suspeitos ou de ficheiros que contenham conteúdo que viole a política da empresa.

O seguinte lista os pedidos suportados:

Pedidos preteridos

A tabela seguinte lista os pedidos preteridos como obsoletos e os pedidos que os substituem.

Pedido obsoleto Alternativa
Dispensar em massa Fechar falso positivo
Resolução em massa Fechar verdadeiro positivo
Dispensar alerta Fechar falso positivo

Nota

Os pedidos preteridos foram mapeados para as suas alternativas para evitar perturbações. No entanto, se estiver a utilizar pedidos obsoletos no seu ambiente, recomendamos que os atualize para as respetivas alternativas.

Propriedades

O objeto de resposta define as seguintes propriedades.

Propriedade Tipo Descrição
_id int Identificador do tipo de alerta
Carimbo de data/hora Longo Carimbo de data/hora de quando o alerta foi gerado
entidades lista Uma lista de entidades relacionadas com o alerta
título cadeia O título do alerta
descrição cadeia Descrição do alerta
isMarkdown bool Sinalizador para indicar se a descrição do alerta já está em HTML
statusValue int O estado do alerta. Os valores possíveis incluem:

0: NÃO LIDO
1: LER
2: ARQUIVADO
severityValue int A gravidade do alerta. Os valores possíveis incluem:

0: BAIXA
1: MÉDIO
2: ALTO
3: INFORMATIVO
resolutionStatusValue int Estado do alerta. Os valores possíveis incluem:

0: ABRIR
1: DISPENSADO
2: RESOLVIDO
3: FALSE_POSITIVE
4: BENIGNO
5: TRUE_POSITIVE
histórias lista Categoria de risco. Os valores possíveis incluem:

0: THREAT_DETECTION
1: PRIVILEGED_ACCOUNT_MONITORING
2: CONFORMIDADE
3: DLP
4: DETEÇÃO
5: SHARING_CONTROL
7: ACCESS_CONTROL
8: CONFIGURATION_MONITORING
provas lista Lista de breves descrições das partes principais do alerta
intenção lista Um campo que especifica a intenção relacionada com a cadeia de eliminação por trás do alerta. Podem ser comunicados múltiplos valores neste campo. Os valores de enumeração da intenção seguem o modelo mitre att@ck matriz empresarial. Pode encontrar mais orientações sobre as diferentes técnicas que compõem cada intenção na documentação da MITRE.
Os valores possíveis incluem:

0: DESCONHECIDO
1: PRÉ-ATAQUE
2: INITIAL_ACCESS
3: PERSISTÊNCIA
4: PRIVILEGE_ESCALATION
5: DEFENSE_EVASION
6: CREDENTIAL_ACCESS
7: DETEÇÃO
8: LATERAL_MOVEMENT
9: EXECUÇÃO
10: COLEÇÃO
11: EXFILTRAÇÃO
12: COMMAND_AND_CONTROL
13: IMPACTO
isPreview bool Alertas que foram recentemente lançados como Disponibilidade Geral
auditorias (opcional) lista Lista de IDs de eventos relacionados com o alerta
threatScore int Prioridade de investigação do utilizador

Filtros

Para obter informações sobre como funcionam os filtros, consulte Filtros.

A tabela seguinte descreve os filtros suportados:

Filtro Tipo Operadores Descrição
entity.entity pk de entidade eq,neq Filtrar alertas relacionados com entidades especificadas. Exemplo: [{ "id": "entity-id", "inst": 0 }]
entity.ip cadeia eq, neq Filtrar alertas relacionados com endereços IP especificados
entity.service número inteiro eq, neq Filtrar alertas relacionados com o appId do serviço especificado, por exemplo: 11770
entity.instance número inteiro eq, neq Filtrar alertas relacionados com as instâncias especificadas, por exemplo: 11770, 1059065
entity.policy cadeia eq, neq Filtrar alertas relacionados com as políticas especificadas
entity.file cadeia eq, neq Filtrar alertas relacionados com o ficheiro especificado
alertaAbrir booleano eq Se definido como verdadeiro, devolve apenas alertas abertos, se definido como falso, devolve apenas alertas fechados
gravidade número inteiro eq, neq Filtrar por gravidade. Os valores possíveis incluem:

0: Baixa
1: Médio
2: Alto
resolutionStatus número inteiro eq, neq Filtrar por estado de resolução de alertas, os valores possíveis incluem:

0: Abrir
1: Dispensado (estado legado)
2: Resolvido (estado legado)
3: Fechado como falso positivo
4: Fechado como benigno
5: Fechado como verdadeiro positivo
ler booleano eq Se definido como verdadeiro, devolve apenas alertas de leitura, se definido como falso, devolve alertas não lidos
data Carimbo de data/hora lte, gte, intervalo, lte_ndays, gte_ndays Filtrar quando um alerta foi acionado
resolutionDate Carimbo de data/hora lte, gte, intervalo Filtrar quando um alerta foi resolvido
risco número inteiro eq, neq Filtrar por risco
alertType número inteiro eq, neq Filtrar por tipo de alerta
ID cadeia eq, neq Filtrar por IDs de alerta
origem cadeia eq A origem do alerta, incorporada ou política

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.