API för aviseringar
Api:et aviseringar ger dig information om omedelbara risker som identifieras av Defender för molnet-appar som kräver uppmärksamhet. Aviseringar kan bero på misstänkta användningsmönster eller från filer som innehåller innehåll som bryter mot företagets princip.
Följande visar de begäranden som stöds:
- Lista aviseringar
- Stäng godartad
- Stäng falskt positivt
- Stäng sant positivt
- Hämta avisering
- Markera aviseringen som läst
- Markera aviseringen som oläst
Inaktuella begäranden
I följande tabell visas de inaktuella begärandena som inaktuella och de begäranden som ersätter dem.
Föråldrad begäran | Alternativ |
---|---|
Massutsagning | Stäng falskt positivt |
Massutlösa | Stäng sant positivt |
Stäng avisering | Stäng falskt positivt |
Kommentar
De inaktuella begärandena har mappats till deras alternativ för att undvika avbrott. Men om du använder föråldrade begäranden i din miljö rekommenderar vi att du uppdaterar dem till deras alternativ.
Egenskaper
Svarsobjektet definierar följande egenskaper.
Property | Type | Beskrivning |
---|---|---|
_id | heltal | Identifierare för aviseringstyp |
timestamp | lång | Tidsstämpel för när aviseringen utlöstes |
entiteter | lista | En lista över entiteter som är relaterade till aviseringen |
rubrik | sträng | Aviseringens rubrik |
description | sträng | Aviseringens beskrivning |
isMarkdown | bool | Flagga som anger om aviseringens beskrivning redan finns i HTML |
statusValue | heltal | Aviseringens tillstånd. Möjliga värden omfattar: 0: OLÄSTA 1: LÄS 2: ARKIVERAD |
severityValue | heltal | Aviseringens allvarlighetsgrad. Möjliga värden omfattar: 0: LÅG 1: MEDIUM 2: HÖG 3: INFORMATION |
resolutionStatusValue | heltal | Aviseringens status. Möjliga värden omfattar: 0: ÖPPNA 1: AVVISAD 2: LÖST 3: FALSE_POSITIVE 4: GODARTAD 5: TRUE_POSITIVE |
Berättelser | lista | Riskkategori. Möjliga värden omfattar: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: EFTERLEVNAD 3: DLP 4: IDENTIFIERING 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
Bevis | lista | Lista över korta beskrivningar av huvuddelarna i aviseringen |
avsikt | lista | Ett fält som anger den kill chain-relaterade avsikten bakom aviseringen. Flera värden kan rapporteras i det här fältet. Avsiktsuppräkningsvärdena följer MITRE-att@ck företagsmatrismodell. Ytterligare vägledning om de olika tekniker som utgör varje avsikt finns i MITRE:s dokumentation. Möjliga värden omfattar: 0: OKÄND 1: PREATTACK 2: INITIAL_ACCESS 3: PERSISTENCE 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: IDENTIFIERING 8: LATERAL_MOVEMENT 9: KÖRNING 10: SAMLING 11: EXFILTRERING 12: COMMAND_AND_CONTROL 13: PÅVERKAN |
isPreview | bool | Aviseringar som nyligen har släppts som GA |
granskningar (valfritt) | lista | Lista över händelse-ID:t som är relaterade till aviseringen |
threatScore | heltal | Prioritet för användarundersökning |
Filter
Information om hur filter fungerar finns i Filter.
I följande tabell beskrivs de filter som stöds:
Filter | Typ | Operatorer | beskrivning |
---|---|---|---|
entity.entity | entitets-pk | eq,neq | Filtrera aviseringar relaterade till angivna entiteter. Exempel: [{ "id": "entity-id", "inst": 0 }] |
entity.ip | sträng | eq, neq | Filtrera aviseringar relaterade till angivna IP-adresser |
entity.service | integer | eq, neq | Filtrera aviseringar relaterade till angivet appId för tjänsten, t.ex. 11770 |
entity.instance | integer | eq, neq | Filtrera aviseringar relaterade till de angivna instanserna, t.ex. 11770, 1059065 |
entity.policy | sträng | eq, neq | Filtrera aviseringar relaterade till de angivna principerna |
entity.file | sträng | eq, neq | Filtrera aviseringar relaterade till angiven fil |
alertOpen | boolean | eq | Om värdet är true returnerar endast öppna aviseringar, om värdet är falskt, returnerar endast stängda aviseringar |
allvarlighetsgrad | integer | eq, neq | Filtrera efter allvarlighetsgrad. Möjliga värden omfattar: 0: Låg 1: Medel 2: Hög |
resolutionStatus | integer | eq, neq | Filtrera efter status för aviseringsmatchning, möjliga värden är: 0: Öppna 1: Avvisad (äldre status) 2: Löst (äldre status) 3: Stängt som falskt positivt 4: Stängd som godartad 5: Stängt som sant positivt |
läsa | boolean | eq | Om värdet är true returnerar endast skrivskyddade aviseringar, om de är inställda på false, returnerar olästa aviseringar |
datum | timestamp | lte, gte, range, lte_ndays, gte_ndays | Filtrera efter den tidpunkt då en avisering utlöstes |
resolutionDate | timestamp | lte, gte, intervall | Filtrera efter den tidpunkt då en avisering löstes |
Risk | integer | eq, neq | Filtrera efter risk |
alertType | integer | eq, neq | Filtrera efter aviseringstyp |
ID | sträng | eq, neq | Filtrera efter aviserings-ID:t |
source | sträng | eq | Aviseringens ursprung, antingen inbyggd eller princip |
Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.