Läs på engelska

Dela via


API för aviseringar

Api:et aviseringar ger dig information om omedelbara risker som identifieras av Defender for Cloud Apps som kräver uppmärksamhet. Aviseringar kan bero på misstänkta användningsmönster eller från filer som innehåller innehåll som strider mot företagets princip.

Följande listar de begäranden som stöds:

Inaktuella begäranden

I följande tabell visas de inaktuella begärandena som inaktuella och de begäranden som ersätter dem.

Föråldrad begäran Alternativ
Massnedskänning Stäng falskt positivt
Massmatchning Stäng sant positivt
Stäng avisering Stäng falskt positivt

Anteckning

De inaktuella begärandena har mappats till sina alternativ för att undvika avbrott. Men om du använder föråldrade begäranden i din miljö rekommenderar vi att du uppdaterar dem till deras alternativ.

Egenskaper

Svarsobjektet definierar följande egenskaper.

Egenskap Typ Beskrivning
_Id int Identifierare för aviseringstyp
Tidsstämpel lång Tidsstämpel för när aviseringen utlöstes
enheter lista En lista över entiteter som är relaterade till aviseringen
titel sträng Aviseringens rubrik
beskrivning sträng Aviseringens beskrivning
isMarkdown Bool Flagga för att ange om aviseringens beskrivning redan finns i HTML
statusValue int Aviseringens tillstånd. Möjliga värden inkluderar:

0: OLÄST
1: LÄS
2: ARKIVERAD
severityValue int Aviseringens allvarlighetsgrad. Möjliga värden inkluderar:

0: LÅG
1: MEDEL
2: HÖG
3: INFORMATION
resolutionStatusValue int Aviseringens status. Möjliga värden inkluderar:

0: ÖPPNA
1: AVVISAD
2: LÖST
3: FALSE_POSITIVE
4: GODARTAD
5: TRUE_POSITIVE
Berättelser lista Riskkategori. Möjliga värden inkluderar:

0: THREAT_DETECTION
1: PRIVILEGED_ACCOUNT_MONITORING
2: EFTERLEVNAD
3: DLP
4: IDENTIFIERING
5: SHARING_CONTROL
7: ACCESS_CONTROL
8: CONFIGURATION_MONITORING
bevis lista Lista över korta beskrivningar av de viktigaste delarna av aviseringen
avsikt lista Ett fält som anger den kill chain-relaterade avsikten bakom aviseringen. Flera värden kan rapporteras i det här fältet. Avsiktsuppräkningsvärdena följer MITRE-att@ck företagsmatrismodell. Mer information om de olika tekniker som utgör varje avsikt finns i MITRE:s dokumentation.
Möjliga värden inkluderar:

0: OKÄND
1: PREATTACK
2: INITIAL_ACCESS
3: PERSISTENCE
4: PRIVILEGE_ESCALATION
5: DEFENSE_EVASION
6: CREDENTIAL_ACCESS
7: IDENTIFIERING
8: LATERAL_MOVEMENT
9: KÖRNING
10: SAMLING
11: EXFILTRERING
12: COMMAND_AND_CONTROL
13: PÅVERKAN
isPreview Bool Aviseringar som nyligen har släppts som allmänt tillgängliga
granskningar (valfritt) lista Lista över händelse-ID:t som är relaterade till aviseringen
threatScore int Prioritet för användarundersökning

Filter

Information om hur filter fungerar finns i Filter.

I följande tabell beskrivs de filter som stöds:

Filter Typ Operatörer Beskrivning
entity.entity entitets-pk eq,neq Filtrera aviseringar relaterade till angivna entiteter. Exempel: [{ "id": "entity-id", "inst": 0 }]
entity.ip sträng eq, neq Filteraviseringar relaterade till angivna IP-adresser
entity.service heltal eq, neq Filteraviseringar relaterade till angivet appId för tjänsten, t.ex. 11770
entity.instance heltal eq, neq Filteraviseringar relaterade till de angivna instanserna, t.ex. 11770, 1059065
entity.policy sträng eq, neq Filtrera aviseringar relaterade till de angivna principerna
entity.file sträng eq, neq Filteraviseringar relaterade till angiven fil
alertOpen boolesk Eq Om värdet är true returneras endast öppna aviseringar, om värdet är falskt, endast stängda aviseringar
stränghet heltal eq, neq Filtrera efter allvarlighetsgrad. Möjliga värden inkluderar:

0: Låg
1: Medel
2: Hög
resolutionStatus heltal eq, neq Filtrera efter aviseringsmatchningsstatus, möjliga värden är:

0: Öppna
1: Avvisad (äldre status)
2: Löst (äldre status)
3: Stängd som falsk positiv
4: Stängd som godartad
5: Stängd som sann positiv
läsa boolesk Eq Om värdet är true returneras endast läsaviseringar, om värdet är false, returnerar olästa aviseringar
datum Tidsstämpel lte, gte, range, lte_ndays, gte_ndays Filtrera efter den tidpunkt då en avisering utlöstes
resolutionDate Tidsstämpel lte, gte, range Filtrera efter den tidpunkt då en avisering löstes
risk heltal eq, neq Filtrera efter risk
alertType heltal eq, neq Filtrera efter aviseringstyp
ID sträng eq, neq Filtrera efter aviserings-ID:t
källa sträng Eq Aviseringens ursprung, antingen inbyggd eller princip

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.