Tipo de recurso de alerta
Aplica-se a:
Nota
Para obter a experiência completa da API de Alertas disponíveis em todos os produtos do Microsoft Defenders, visite: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Nota
Se for um cliente do Us Government, utilize os URIs listados no Microsoft Defender para Endpoint para clientes do Us Government.
Sugestão
Para um melhor desempenho, pode utilizar o servidor mais próximo da localização geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Métodos
| Método | Tipo de Devolução | Descrição |
|---|---|---|
| Obter alerta | Alerta | Obter um único objeto de alerta |
| Listar alertas | Coleção de alertas | Listar coleção de alertas |
| Atualizar alerta | Alerta | Atualizar alerta específico |
| Alertas de atualização de lotes | Atualizar um lote de alertas | |
| Criar alerta | Alerta | Criar um alerta com base nos dados de eventos obtidos a partir da Investigação Avançada |
| Listar domínios relacionados | Coleção de domínios | Listar URLs associados ao alerta |
| Listar ficheiros relacionados | Coleção de ficheiros | Listar as entidades de ficheiro associadas ao alerta |
| Listar IPs relacionados | Coleção de IP | Listar IPs associados ao alerta |
| Obter máquinas relacionadas | Máquina | O computador que está associado ao alerta |
| Obter utilizadores relacionados | Utilizador | O utilizador que está associado ao alerta |
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| ID | Cadeia | ID do alerta. |
| título | Cadeia | Título do alerta. |
| descrição | Cadeia | Descrição do alerta. |
| alertCreationTime | Nullable DateTimeOffset | A data e hora (em UTC) em que o alerta foi criado. |
| lastEventTime | Nullable DateTimeOffset | A última ocorrência do evento que acionou o alerta no mesmo dispositivo. |
| firstEventTime | Nullable DateTimeOffset | A primeira ocorrência do evento que acionou o alerta nesse dispositivo. |
| lastUpdateTime | Nullable DateTimeOffset | A data e hora (em UTC) em que o alerta foi atualizado pela última vez. |
| resolvedTime | Nullable DateTimeOffset | A data e hora em que o estado do alerta foi alterado para Resolvido. |
| incidentId | Anulável Longo | O ID do Incidente do Alerta. |
| investigationId | Anulável Longo | O ID da Investigação relacionado com o Alerta. |
| investigationState | Enumeração Anulável | O estado atual da Investigação. Os valores possíveis são: Unknown, Terminated, SuccessfullyRemediated, Benign,Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| atribuído A | Cadeia | Proprietário do alerta. |
| rbacGroupName | Cadeia | Nome do grupo de dispositivos do controlo de acesso baseado em funções. |
| mitreTechniques | Cadeia | ID da técnica mitre Enterprise. |
| relatedUser | Cadeia | Detalhes do utilizador relacionados com um alerta específico. |
| gravidade | Enumeração | Gravidade do alerta. Os valores possíveis são: Não Especificado, Informativo, Baixo, Médio e Alto. |
| estado | Enumeração | Especifica o estado atual do alerta. Os valores possíveis são: Desconhecido, Novo, Entrada e Resolvido. |
| classificação | Enumeração Anulável | Especificação do alerta. Os valores possíveis são: TruePositive, Informational, expected activitye FalsePositive. |
| determinação | Enumeração Anulável | Especifica a determinação do alerta. Os valores de determinação possíveis para cada classificação são: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – considere alterar o nome da enumeração na API pública em conformidade, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Outro). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - considere alterar o nome da enumeração na API pública em conformidade e Other (Outro). Not malicious (Limpo) – considere alterar o nome da enumeração na API pública em conformidade, Not enough data to validate (InsufficientData) e Other (Outro). |
| categoria | Cadeia | Categoria do alerta. |
| detectionSource | Cadeia | Origem de deteção. |
| threatFamilyName | Cadeia | Família de ameaças. |
| threatName | Cadeia | Nome da ameaça. |
| machineId | Cadeia | ID de uma entidade de computador que está associada ao alerta. |
| computerDnsName | Cadeia | nome completamente qualificado do computador. |
| aadTenantId | Cadeia | O ID do Microsoft Entra. |
| detectorId | Cadeia | O ID do detetor que acionou o alerta. |
| comentários | Lista de comentários de Alerta | O objeto Comentário de Alerta contém: cadeia de comentário, createdBy string e createTime date time. |
| Provas | Lista de provas de Alerta | Provas relacionadas com o alerta. Veja o exemplo seguinte. |
Nota
Por volta de 29 de agosto de 2022, os valores de determinação de alertas (Apt e Pessoal de Segurança) anteriormente suportados serão preteridos e deixarão de estar disponíveis através da API.
Exemplo de resposta para obter um único alerta:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
Artigos relacionados
Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn
Sugestão
Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.