API för aviseringar
Api:et aviseringar ger dig information om omedelbara risker som identifieras av Defender for Cloud Apps som kräver uppmärksamhet. Aviseringar kan bero på misstänkta användningsmönster eller från filer som innehåller innehåll som strider mot företagets princip.
Följande listar de begäranden som stöds:
- Listvarningar
- Stäng godartad
- Stäng falskt positivt
- Stäng sant positivt
- Hämta avisering
- Markera avisering som läst
- Markera aviseringen som oläst
I följande tabell visas de inaktuella begärandena som inaktuella och de begäranden som ersätter dem.
Föråldrad begäran | Alternativ |
---|---|
Massnedskänning | Stäng falskt positivt |
Massmatchning | Stäng sant positivt |
Stäng avisering | Stäng falskt positivt |
Anteckning
De inaktuella begärandena har mappats till sina alternativ för att undvika avbrott. Men om du använder föråldrade begäranden i din miljö rekommenderar vi att du uppdaterar dem till deras alternativ.
Svarsobjektet definierar följande egenskaper.
Egenskap | Typ | Beskrivning |
---|---|---|
_Id | int | Identifierare för aviseringstyp |
Tidsstämpel | lång | Tidsstämpel för när aviseringen utlöstes |
enheter | lista | En lista över entiteter som är relaterade till aviseringen |
titel | sträng | Aviseringens rubrik |
beskrivning | sträng | Aviseringens beskrivning |
isMarkdown | Bool | Flagga för att ange om aviseringens beskrivning redan finns i HTML |
statusValue | int | Aviseringens tillstånd. Möjliga värden inkluderar: 0: OLÄST 1: LÄS 2: ARKIVERAD |
severityValue | int | Aviseringens allvarlighetsgrad. Möjliga värden inkluderar: 0: LÅG 1: MEDEL 2: HÖG 3: INFORMATION |
resolutionStatusValue | int | Aviseringens status. Möjliga värden inkluderar: 0: ÖPPNA 1: AVVISAD 2: LÖST 3: FALSE_POSITIVE 4: GODARTAD 5: TRUE_POSITIVE |
Berättelser | lista | Riskkategori. Möjliga värden inkluderar: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: EFTERLEVNAD 3: DLP 4: IDENTIFIERING 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
bevis | lista | Lista över korta beskrivningar av de viktigaste delarna av aviseringen |
avsikt | lista | Ett fält som anger den kill chain-relaterade avsikten bakom aviseringen. Flera värden kan rapporteras i det här fältet. Avsiktsuppräkningsvärdena följer MITRE-att@ck företagsmatrismodell. Mer information om de olika tekniker som utgör varje avsikt finns i MITRE:s dokumentation. Möjliga värden inkluderar: 0: OKÄND 1: PREATTACK 2: INITIAL_ACCESS 3: PERSISTENCE 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: IDENTIFIERING 8: LATERAL_MOVEMENT 9: KÖRNING 10: SAMLING 11: EXFILTRERING 12: COMMAND_AND_CONTROL 13: PÅVERKAN |
isPreview | Bool | Aviseringar som nyligen har släppts som allmänt tillgängliga |
granskningar (valfritt) | lista | Lista över händelse-ID:t som är relaterade till aviseringen |
threatScore | int | Prioritet för användarundersökning |
Information om hur filter fungerar finns i Filter.
I följande tabell beskrivs de filter som stöds:
Filter | Typ | Operatörer | Beskrivning |
---|---|---|---|
entity.entity | entitets-pk | eq,neq | Filtrera aviseringar relaterade till angivna entiteter. Exempel: [{ "id": "entity-id", "inst": 0 }] |
entity.ip | sträng | eq, neq | Filteraviseringar relaterade till angivna IP-adresser |
entity.service | heltal | eq, neq | Filteraviseringar relaterade till angivet appId för tjänsten, t.ex. 11770 |
entity.instance | heltal | eq, neq | Filteraviseringar relaterade till de angivna instanserna, t.ex. 11770, 1059065 |
entity.policy | sträng | eq, neq | Filtrera aviseringar relaterade till de angivna principerna |
entity.file | sträng | eq, neq | Filteraviseringar relaterade till angiven fil |
alertOpen | boolesk | Eq | Om värdet är true returneras endast öppna aviseringar, om värdet är falskt, endast stängda aviseringar |
stränghet | heltal | eq, neq | Filtrera efter allvarlighetsgrad. Möjliga värden inkluderar: 0: Låg 1: Medel 2: Hög |
resolutionStatus | heltal | eq, neq | Filtrera efter aviseringsmatchningsstatus, möjliga värden är: 0: Öppna 1: Avvisad (äldre status) 2: Löst (äldre status) 3: Stängd som falsk positiv 4: Stängd som godartad 5: Stängd som sann positiv |
läsa | boolesk | Eq | Om värdet är true returneras endast läsaviseringar, om värdet är false, returnerar olästa aviseringar |
datum | Tidsstämpel | lte, gte, range, lte_ndays, gte_ndays | Filtrera efter den tidpunkt då en avisering utlöstes |
resolutionDate | Tidsstämpel | lte, gte, range | Filtrera efter den tidpunkt då en avisering löstes |
risk | heltal | eq, neq | Filtrera efter risk |
alertType | heltal | eq, neq | Filtrera efter aviseringstyp |
ID | sträng | eq, neq | Filtrera efter aviserings-ID:t |
källa | sträng | Eq | Aviseringens ursprung, antingen inbyggd eller princip |
Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.