API de Alertas
A API de Alertas fornece-lhe informações sobre riscos imediatos identificados por Defender for Cloud Apps que necessitam de atenção. Os alertas podem resultar de padrões de utilização suspeitos ou de ficheiros que contenham conteúdo que viole a política da empresa.
O seguinte lista os pedidos suportados:
- Listar alertas
- Fechar benigno
- Fechar falso positivo
- Fechar verdadeiro positivo
- Obter alerta
- Marcar alerta como lido
- Marcar alerta como não lido
A tabela seguinte lista os pedidos preteridos como obsoletos e os pedidos que os substituem.
Pedido obsoleto | Alternativa |
---|---|
Dispensar em massa | Fechar falso positivo |
Resolução em massa | Fechar verdadeiro positivo |
Dispensar alerta | Fechar falso positivo |
Nota
Os pedidos preteridos foram mapeados para as suas alternativas para evitar perturbações. No entanto, se estiver a utilizar pedidos obsoletos no seu ambiente, recomendamos que os atualize para as respetivas alternativas.
O objeto de resposta define as seguintes propriedades.
Propriedade | Tipo | Descrição |
---|---|---|
_id | int | Identificador do tipo de alerta |
Carimbo de data/hora | Longo | Carimbo de data/hora de quando o alerta foi gerado |
entidades | lista | Uma lista de entidades relacionadas com o alerta |
título | cadeia | O título do alerta |
descrição | cadeia | Descrição do alerta |
isMarkdown | bool | Sinalizador para indicar se a descrição do alerta já está em HTML |
statusValue | int | O estado do alerta. Os valores possíveis incluem: 0: NÃO LIDO 1: LER 2: ARQUIVADO |
severityValue | int | A gravidade do alerta. Os valores possíveis incluem: 0: BAIXA 1: MÉDIO 2: ALTO 3: INFORMATIVO |
resolutionStatusValue | int | Estado do alerta. Os valores possíveis incluem: 0: ABRIR 1: DISPENSADO 2: RESOLVIDO 3: FALSE_POSITIVE 4: BENIGNO 5: TRUE_POSITIVE |
histórias | lista | Categoria de risco. Os valores possíveis incluem: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: CONFORMIDADE 3: DLP 4: DETEÇÃO 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
provas | lista | Lista de breves descrições das partes principais do alerta |
intenção | lista | Um campo que especifica a intenção relacionada com a cadeia de eliminação por trás do alerta. Podem ser comunicados múltiplos valores neste campo. Os valores de enumeração da intenção seguem o modelo mitre att@ck matriz empresarial. Pode encontrar mais orientações sobre as diferentes técnicas que compõem cada intenção na documentação da MITRE. Os valores possíveis incluem: 0: DESCONHECIDO 1: PRÉ-ATAQUE 2: INITIAL_ACCESS 3: PERSISTÊNCIA 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: DETEÇÃO 8: LATERAL_MOVEMENT 9: EXECUÇÃO 10: COLEÇÃO 11: EXFILTRAÇÃO 12: COMMAND_AND_CONTROL 13: IMPACTO |
isPreview | bool | Alertas que foram recentemente lançados como Disponibilidade Geral |
auditorias (opcional) | lista | Lista de IDs de eventos relacionados com o alerta |
threatScore | int | Prioridade de investigação do utilizador |
Para obter informações sobre como funcionam os filtros, consulte Filtros.
A tabela seguinte descreve os filtros suportados:
Filtro | Tipo | Operadores | Descrição |
---|---|---|---|
entity.entity | pk de entidade | eq,neq | Filtrar alertas relacionados com entidades especificadas. Exemplo: [{ "id": "entity-id", "inst": 0 }] |
entity.ip | cadeia | eq, neq | Filtrar alertas relacionados com endereços IP especificados |
entity.service | número inteiro | eq, neq | Filtrar alertas relacionados com o appId do serviço especificado, por exemplo: 11770 |
entity.instance | número inteiro | eq, neq | Filtrar alertas relacionados com as instâncias especificadas, por exemplo: 11770, 1059065 |
entity.policy | cadeia | eq, neq | Filtrar alertas relacionados com as políticas especificadas |
entity.file | cadeia | eq, neq | Filtrar alertas relacionados com o ficheiro especificado |
alertaAbrir | booleano | eq | Se definido como verdadeiro, devolve apenas alertas abertos, se definido como falso, devolve apenas alertas fechados |
gravidade | número inteiro | eq, neq | Filtrar por gravidade. Os valores possíveis incluem: 0: Baixa 1: Médio 2: Alto |
resolutionStatus | número inteiro | eq, neq | Filtrar por estado de resolução de alertas, os valores possíveis incluem: 0: Abrir 1: Dispensado (estado legado) 2: Resolvido (estado legado) 3: Fechado como falso positivo 4: Fechado como benigno 5: Fechado como verdadeiro positivo |
ler | booleano | eq | Se definido como verdadeiro, devolve apenas alertas de leitura, se definido como falso, devolve alertas não lidos |
data | Carimbo de data/hora | lte, gte, intervalo, lte_ndays, gte_ndays | Filtrar quando um alerta foi acionado |
resolutionDate | Carimbo de data/hora | lte, gte, intervalo | Filtrar quando um alerta foi resolvido |
risco | número inteiro | eq, neq | Filtrar por risco |
alertType | número inteiro | eq, neq | Filtrar por tipo de alerta |
ID | cadeia | eq, neq | Filtrar por IDs de alerta |
origem | cadeia | eq | A origem do alerta, incorporada ou política |
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o problema do produto, abra um pedido de suporte.