Läs på engelska

Dela via


Aviseringsresurstyp

Gäller för:

Anteckning

Om du vill ha en fullständig api-upplevelse för aviseringar för alla Microsoft Defenders produkter kan du besöka: Använda Microsoft Graph-säkerhets-API:et – Microsoft Graph | Microsoft Learn.

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Anteckning

Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.

Tips

För bättre prestanda kan du använda servern närmare din geoplats:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Metoder

Metod Returtyp Beskrivning
Hämta avisering Varning Hämta ett enda aviseringsobjekt
Listvarningar Aviseringssamling Lista aviseringssamling
Uppdatera avisering Varning Uppdatera specifik avisering
Uppdateringsaviseringar för batch Uppdatera en batch med aviseringar
Skapa varning Varning Skapa en avisering baserat på händelsedata som hämtats från Avancerad jakt
Lista relaterade domäner Domänsamling Lista URL:er som är associerade med aviseringen
Lista relaterade filer Filsamling Lista de filentiteter som är associerade med aviseringen
Lista relaterade IP-adresser IP-samling Lista IP-adresser som är associerade med aviseringen
Hämta relaterade datorer Maskin Den dator som är associerad med aviseringen
Hämta relaterade användare Användare Den användare som är associerad med aviseringen

Egenskaper

Egenskap Typ Beskrivning
ID Sträng Aviserings-ID.
titel Sträng Aviseringsrubrik.
beskrivning Sträng Aviseringsbeskrivning.
alertCreationTime DateTimeOffset som kan ha värdet Null Datum och tid (i UTC) som aviseringen skapades.
lastEventTime DateTimeOffset som kan ha värdet Null Den sista förekomsten av händelsen som utlöste aviseringen på samma enhet.
firstEventTime DateTimeOffset som kan ha värdet Null Den första förekomsten av händelsen som utlöste aviseringen på enheten.
lastUpdateTime DateTimeOffset som kan ha värdet Null Datum och tid (i UTC) som aviseringen senast uppdaterades.
resolvedTime DateTimeOffset som kan ha värdet Null Datum och tid då aviseringens status ändrades till Löst.
incidentId Nullbar lång Incident-ID för aviseringen.
investigationId Nullbar lång Undersöknings-ID:t som är relaterat till aviseringen.
investigationState Uppräkning som kan ha värdet Null Det aktuella tillståndet för undersökningen. Möjliga värden är: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Sträng Ägaren av aviseringen.
rbacGroupName Sträng Namn på rollbaserad åtkomstkontrollenhetsgrupp.
mitreTechniques Sträng Mitre Enterprise-teknik-ID.
relatedUser Sträng Information om användare som är relaterade till en specifik avisering.
stränghet Räkna upp Allvarlighetsgrad för aviseringen. Möjliga värden är: Ospecificerad, Informationsbaserad, Låg, Medel och Hög.
status Räkna upp Anger aktuell status för aviseringen. Möjliga värden är: Okänd, Ny, InProgress och Löst.
klassificering Uppräkning som kan ha värdet Null Specifikation av aviseringen. Möjliga värden är: TruePositive, Informational, expected activityoch FalsePositive.
beslutsamhet Uppräkning som kan ha värdet Null Anger bestämning av aviseringen.

Möjliga bestämningsvärden för varje klassificering är:

  • Sann positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Malware (Skadlig kod), Phishing (Nätfiske), Unwanted software (UnwantedSoftware) och Other (Övrigt).
  • Informationsaktivitet, förväntad aktivitet:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta och Other (Övrigt).
  • Falsk positiv identifiering:Not malicious (Ren) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Not enough data to validate (InsufficientData) och Other (Övrigt).
  • kategori Sträng Aviseringens kategori.
    detectionSource Sträng Identifieringskälla.
    threatFamilyName Sträng Hotfamilj.
    threatName Sträng Hotnamn.
    machineId Sträng ID för en datorentitet som är associerad med aviseringen.
    computerDnsName Sträng fullständigt kvalificerat namn på datorn.
    aadTenantId Sträng Microsoft Entra-ID.
    detectorId Sträng ID för detektorn som utlöste aviseringen.
    Kommentarer Lista över aviseringskommentar Objektet Alert Comment innehåller: kommentarssträng, createdBy string och createTime datumtid.
    Bevis Lista över aviseringsbevis Bevis som rör aviseringen. Se följande exempel.

    Anteckning

    Runt den 29 augusti 2022 kommer tidigare stödda aviseringsbestämningsvärden (Apt och SecurityPersonnel) att bli inaktuella och inte längre tillgängliga via API:et.

    Svarsexempel för att få en enskild avisering:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn

    Tips

    Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.