Прочитать на английском

Поделиться через


API оповещений

API оповещений предоставляет сведения о непосредственных рисках, выявленных Defender for Cloud Apps, которые требуют внимания. Оповещения могут возникать из-за подозрительных шаблонов использования или файлов, содержащих содержимое, которое нарушает политику компании.

Ниже перечислены поддерживаемые запросы.

Устаревшие запросы

В следующей таблице перечислены нерекомендуемые запросы, которые считаются устаревшими, и запросы, которые их заменяют.

Устаревший запрос Альтернатива
Массовое закрытие Закрыть ложноположительный результат
Массовое разрешение Закрытие истинно положительного результата
Закрыть оповещение Закрыть ложноположительный результат

Примечание

Устаревшие запросы были сопоставлены с их альтернативами, чтобы избежать прерывания работы. Однако если вы используете устаревшие запросы в своей среде, рекомендуется обновить их до их альтернативных вариантов.

Свойства

Объект ответа определяет следующие свойства.

Свойство Тип Описание
_идентификатор int Идентификатор типа оповещения
метка времени long Метка времени , когда было создано оповещение
Объекты список Список сущностей, связанных с оповещением
title string Название оповещения
description string Описание оповещения
isMarkdown логический Флаг, указывающий, есть ли описание оповещения в HTML
statusValue int Состояние оповещения. Возможные значения:

0: НЕПРОЧИТАНО
1: ЧТЕНИЕ
2: АРХИВИРОВАНО
severityValue int Серьезность оповещения. Возможные значения:

0: LOW
1: СРЕДНИЙ
2: ВЫСОКИЙ
3: ИНФОРМАЦИОННЫЙ
resolutionStatusValue int Состояние оповещения. Возможные значения:

0: OPEN
1: УВОЛЕНО
2: РАЗРЕШЕНО
3: FALSE_POSITIVE
4: ДОБРОКАЧЕСТВЕННЫЙ
5: TRUE_POSITIVE
Истории список Категория риска. Возможные значения:

0: THREAT_DETECTION
1: PRIVILEGED_ACCOUNT_MONITORING
2. СООТВЕТСТВИЕ ТРЕБОВАНИЯМ
3: защита от потери данных
4. ОБНАРУЖЕНИЕ
5: SHARING_CONTROL
7: ACCESS_CONTROL
8: CONFIGURATION_MONITORING
доказательство список Список кратких описаний main частей оповещения
intent список Поле, указывающее намерение, связанное с цепочкой завершения, за оповещением. В этом поле можно указать несколько значений. Значения перечисления намерений соответствуют модели корпоративной матрицы MITRE att@ck. Дополнительные рекомендации по различным методам, составляющим каждое намерение, см. в документации MITRE.
Возможные значения:

0: НЕИЗВЕСТНО
1: ПРЕДВАРИТЕЛЬНАЯ АТАКА
2: INITIAL_ACCESS
3. СОХРАНЯЕМОСТЬ
4: PRIVILEGE_ESCALATION
5: DEFENSE_EVASION
6: CREDENTIAL_ACCESS
7. ОБНАРУЖЕНИЕ
8: LATERAL_MOVEMENT
9. ВЫПОЛНЕНИЕ
10: КОЛЛЕКЦИЯ
11. КРАЖА
12: COMMAND_AND_CONTROL
13. ВЛИЯНИЕ
isPreview логический Оповещения, недавно выпущенные как общедоступная версия
аудиты (необязательно) список Список идентификаторов событий, связанных с оповещением
threatScore int Приоритет исследования пользователей

Фильтры

Сведения о работе фильтров см. в разделе Фильтры.

В следующей таблице описаны поддерживаемые фильтры.

Filter Тип Операторы Описание
entity.entity entity pk eq,neq Фильтрация оповещений, связанных с указанными сущностями. Пример: [{ "id": "entity-id", "inst": 0 }]
entity.ip string eq, neq Фильтрация оповещений, связанных с указанными IP-адресами
entity.service integer eq, neq Фильтрация оповещений, связанных с указанным идентификатором приложения службы, например 11770
entity.instance integer eq, neq Фильтрация оповещений, связанных с указанными экземплярами, например 11770, 1059065
entity.policy string eq, neq Фильтрация оповещений, связанных с указанными политиками
entity.file string eq, neq Фильтрация оповещений, связанных с указанным файлом
alertОткрыть логический eq Если задано значение true, возвращает только открытые оповещения, если задано значение false, возвращает только закрытые оповещения.
severity integer eq, neq Фильтрация по серьезности. Возможные значения:

0: низкий
1: средний
2: высокий
resolutionStatus integer eq, neq Фильтрация по состоянию разрешения оповещений, возможные значения:

0: открыть
1: отклонено (устаревшее состояние)
2: устранено (устаревшее состояние)
3: закрыто как ложноположительный результат
4: Закрыто как доброкачественное
5: закрыто как истинно положительное
read логический eq Если задано значение true, возвращает только оповещения чтения, если задано значение false, возвращает непрочитанные оповещения.
date метка времени lte, gte, range, lte_ndays, gte_ndays Фильтрация по времени активации оповещения
resolutionDate метка времени lte, gte, range Фильтрация по времени, когда оповещение было разрешено
риск integer eq, neq Фильтрация по рискам
alertType integer eq, neq Фильтрация по типу оповещений
ИД string eq, neq Фильтрация по идентификаторам оповещений
source string eq Источник оповещения либо встроенный, либо политика

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.