API оповещений
API оповещений предоставляет сведения о непосредственных рисках, выявленных Defender for Cloud Apps, которые требуют внимания. Оповещения могут возникать из-за подозрительных шаблонов использования или файлов, содержащих содержимое, которое нарушает политику компании.
Ниже перечислены поддерживаемые запросы.
- Список оповещений
- Закрыть доброкачественное
- Закрыть ложноположительный результат
- Закрытие истинно положительного результата
- Получение оповещений
- Пометить оповещение как прочитанное
- Пометить оповещение как непрочитанное
В следующей таблице перечислены нерекомендуемые запросы, которые считаются устаревшими, и запросы, которые их заменяют.
Устаревший запрос | Альтернатива |
---|---|
Массовое закрытие | Закрыть ложноположительный результат |
Массовое разрешение | Закрытие истинно положительного результата |
Закрыть оповещение | Закрыть ложноположительный результат |
Примечание
Устаревшие запросы были сопоставлены с их альтернативами, чтобы избежать прерывания работы. Однако если вы используете устаревшие запросы в своей среде, рекомендуется обновить их до их альтернативных вариантов.
Объект ответа определяет следующие свойства.
Свойство | Тип | Описание |
---|---|---|
_идентификатор | int | Идентификатор типа оповещения |
метка времени | long | Метка времени , когда было создано оповещение |
Объекты | список | Список сущностей, связанных с оповещением |
title | string | Название оповещения |
description | string | Описание оповещения |
isMarkdown | логический | Флаг, указывающий, есть ли описание оповещения в HTML |
statusValue | int | Состояние оповещения. Возможные значения: 0: НЕПРОЧИТАНО 1: ЧТЕНИЕ 2: АРХИВИРОВАНО |
severityValue | int | Серьезность оповещения. Возможные значения: 0: LOW 1: СРЕДНИЙ 2: ВЫСОКИЙ 3: ИНФОРМАЦИОННЫЙ |
resolutionStatusValue | int | Состояние оповещения. Возможные значения: 0: OPEN 1: УВОЛЕНО 2: РАЗРЕШЕНО 3: FALSE_POSITIVE 4: ДОБРОКАЧЕСТВЕННЫЙ 5: TRUE_POSITIVE |
Истории | список | Категория риска. Возможные значения: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2. СООТВЕТСТВИЕ ТРЕБОВАНИЯМ 3: защита от потери данных 4. ОБНАРУЖЕНИЕ 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
доказательство | список | Список кратких описаний main частей оповещения |
intent | список | Поле, указывающее намерение, связанное с цепочкой завершения, за оповещением. В этом поле можно указать несколько значений. Значения перечисления намерений соответствуют модели корпоративной матрицы MITRE att@ck. Дополнительные рекомендации по различным методам, составляющим каждое намерение, см. в документации MITRE. Возможные значения: 0: НЕИЗВЕСТНО 1: ПРЕДВАРИТЕЛЬНАЯ АТАКА 2: INITIAL_ACCESS 3. СОХРАНЯЕМОСТЬ 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7. ОБНАРУЖЕНИЕ 8: LATERAL_MOVEMENT 9. ВЫПОЛНЕНИЕ 10: КОЛЛЕКЦИЯ 11. КРАЖА 12: COMMAND_AND_CONTROL 13. ВЛИЯНИЕ |
isPreview | логический | Оповещения, недавно выпущенные как общедоступная версия |
аудиты (необязательно) | список | Список идентификаторов событий, связанных с оповещением |
threatScore | int | Приоритет исследования пользователей |
Сведения о работе фильтров см. в разделе Фильтры.
В следующей таблице описаны поддерживаемые фильтры.
Filter | Тип | Операторы | Описание |
---|---|---|---|
entity.entity | entity pk | eq,neq | Фильтрация оповещений, связанных с указанными сущностями. Пример: [{ "id": "entity-id", "inst": 0 }] |
entity.ip | string | eq, neq | Фильтрация оповещений, связанных с указанными IP-адресами |
entity.service | integer | eq, neq | Фильтрация оповещений, связанных с указанным идентификатором приложения службы, например 11770 |
entity.instance | integer | eq, neq | Фильтрация оповещений, связанных с указанными экземплярами, например 11770, 1059065 |
entity.policy | string | eq, neq | Фильтрация оповещений, связанных с указанными политиками |
entity.file | string | eq, neq | Фильтрация оповещений, связанных с указанным файлом |
alertОткрыть | логический | eq | Если задано значение true, возвращает только открытые оповещения, если задано значение false, возвращает только закрытые оповещения. |
severity | integer | eq, neq | Фильтрация по серьезности. Возможные значения: 0: низкий 1: средний 2: высокий |
resolutionStatus | integer | eq, neq | Фильтрация по состоянию разрешения оповещений, возможные значения: 0: открыть 1: отклонено (устаревшее состояние) 2: устранено (устаревшее состояние) 3: закрыто как ложноположительный результат 4: Закрыто как доброкачественное 5: закрыто как истинно положительное |
read | логический | eq | Если задано значение true, возвращает только оповещения чтения, если задано значение false, возвращает непрочитанные оповещения. |
date | метка времени | lte, gte, range, lte_ndays, gte_ndays | Фильтрация по времени активации оповещения |
resolutionDate | метка времени | lte, gte, range | Фильтрация по времени, когда оповещение было разрешено |
риск | integer | eq, neq | Фильтрация по рискам |
alertType | integer | eq, neq | Фильтрация по типу оповещений |
ИД | string | eq, neq | Фильтрация по идентификаторам оповещений |
source | string | eq | Источник оповещения либо встроенный, либо политика |
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.