Прочитать на английском

Поделиться через


Тип ресурса alert

Область применения:

Примечание

Полный интерфейс API оповещений для всех продуктов Microsoft Defender см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание

Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.

Совет

Для повышения производительности можно использовать сервер ближе к географическому расположению:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Методы

Метод Возвращаемый тип Описание
Получение оповещения Оповещение Получение одного объекта оповещения
Список оповещений Коллекция оповещений Сбор оповещений списка
Обновление оповещения Оповещение Обновление конкретного оповещения
Пакетное обновление оповещений Обновление пакета оповещений
Создание оповещения Оповещение Создание оповещения на основе данных о событиях, полученных из Advanced Hunting
Вывод списка связанных доменов Коллекция доменов Вывод списка URL-адресов, связанных с оповещением
Вывод списка связанных файлов Коллекция файлов Вывод списка сущностей файлов , связанных с оповещением
Список связанных IP-адресов Коллекция IP-адресов Вывод списка IP-адресов, связанных с оповещением
Получение связанных компьютеров Компьютер Компьютер, связанный с оповещением
Получение связанных пользователей Пользователь Пользователь, связанный с оповещением

Свойства

Свойство Тип Описание
ИД String ИД оповещения.
title String Заголовок оповещения.
description String Описание оповещения.
alertCreationTime DateTimeOffset, допускающий значение NULL Дата и время создания оповещения (в формате UTC).
lastEventTime DateTimeOffset, допускающий значение NULL Последнее событие, которое вызвало оповещение на том же устройстве.
firstEventTime DateTimeOffset, допускающий значение NULL Первое событие, которое активировало оповещение на этом устройстве.
lastUpdateTime DateTimeOffset, допускающий значение NULL Дата и время последнего обновления оповещения (в формате UTC).
resolvedTime DateTimeOffset, допускающий значение NULL Дата и время изменения состояния оповещения на Разрешено.
incidentId Long, допускающий значение NULL Идентификатор инцидента оповещения.
investigationId Long, допускающий значение NULL Идентификатор исследования , связанный с оповещением.
investigationState Перечисление, допускающее значение NULL Текущее состояние исследования. Возможные значения: Unknown, Terminated, SuccessfullyRemediated, Доброкачественный, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo String Владелец оповещения.
rbacGroupName String Имя группы устройств управления доступом на основе ролей.
mitreTechniques String Идентификатор техники Mitre Enterprise.
relatedUser String Сведения о пользователе, связанном с определенным оповещением.
severity Перечисление Степень серьезности оповещения. Возможные значения: UnSpecified, Информационный, Low, Medium и High.
status Перечисление Указывает текущее состояние оповещения. Возможные значения: Unknown, New, InProgress и Resolved.
classification Перечисление, допускающее значение NULL Спецификация оповещения. Возможные значения: TruePositive, Informational, expected activityи FalsePositive.
решимость Перечисление, допускающее значение NULL Указывает определение оповещения.

Возможные значения определения для каждой классификации:

  • Истинный положительный результат: Multistage attack (MultiStagedAttack), Malicious user activity (MalwareUserActivity), Compromised account (CompromisedUser) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом Malware (Вредоносные программы), Phishing (Фишинг), Unwanted software (UnwantedSoftware) и Other (Прочее).
  • Информационное ожидаемое действие:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом и Other (Другое).
  • Ложноположительный результат:Not malicious (Чистая) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом ( Not enough data to validate InsufficientData) и Other (Other).
  • category String Категория оповещения.
    detectionSource String Источник обнаружения.
    threatFamilyName String Семейство угроз.
    threatName String Имя угрозы.
    machineId String Идентификатор сущности компьютера , связанной с оповещением.
    computerDnsName String полное имя компьютера.
    aadTenantId String Идентификатор Microsoft Entra.
    detectorId String Идентификатор детектора, активировав оповещение.
    comments Список комментариев к оповещению Объект Alert Comment содержит строку комментария, строку createdBy и время даты createTime.
    Свидетельство Список свидетельств оповещений Доказательства, связанные с оповещением. См. следующий пример.

    Примечание

    Примерно 29 августа 2022 г. поддерживаемые ранее значения определения оповещений (Apt и SecurityPersonnel) будут устарели и больше не будут доступны через API.

    Пример ответа для получения одного оповещения:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn

    Совет

    Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.