Aviseringsresurstyp

Gäller för:

Obs!

Om du vill ha en fullständig api-upplevelse för aviseringar för alla Microsoft Defenders produkter går du till: Använda Microsoft Graph-säkerhets-API: Microsoft Graph beta | Microsoft Learn.

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Obs!

Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.

Tips

För bättre prestanda kan du använda servern närmare din geoplats:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

Metoder

Metod Returtyp Beskrivning
Hämta avisering Varning Hämta ett enda aviseringsobjekt .
Listvarningar Aviseringssamling Lista aviseringssamling .
Uppdatera avisering Varning Uppdatera en specifik avisering.
Uppdateringsaviseringar för batch Uppdatera en batch med aviseringar.
Skapa varning Varning Skapa en avisering baserat på händelsedata som hämtats från Avancerad jakt.
Lista relaterade domäner Domänsamling Lista URL:er som är associerade med aviseringen.
Lista relaterade filer Filsamling Lista de filentiteter som är associerade med aviseringen.
Lista relaterade IP-adresser IP-samling Lista IP-adresser som är associerade med aviseringen.
Hämta relaterade datorer Maskin Den dator som är associerad med aviseringen.
Hämta relaterade användare Användare Den användare som är associerad med aviseringen.

Egenskaper

Egenskap Typ Beskrivning
Id Sträng Aviserings-ID.
Titel Sträng Aviseringsrubrik.
beskrivning Sträng Aviseringsbeskrivning.
alertCreationTime Nullable DateTimeOffset Datum och tid (i UTC) som aviseringen skapades.
lastEventTime Nullable DateTimeOffset Den sista förekomsten av händelsen som utlöste aviseringen på samma enhet.
firstEventTime Nullable DateTimeOffset Den första förekomsten av händelsen som utlöste aviseringen på enheten.
lastUpdateTime Nullable DateTimeOffset Datum och tid (i UTC) som aviseringen senast uppdaterades.
resolvedTime Nullable DateTimeOffset Datum och tid då aviseringens status ändrades till "Löst".
incidentId Nullbar lång Incident-ID för aviseringen.
investigationId Nullbar lång Undersöknings-ID:t som är relaterat till aviseringen.
investigationState Uppräkning som kan ha värdet Null Det aktuella tillståndet för undersökningen. Möjliga värden är: "Unknown", "Terminated", "SuccessfullyRemediated", 'Benign', 'Failed', 'PartiallyRemediated', 'Running', 'PendingApproval', 'PendingResource', 'PartiallyInvestigated', 'TerminatedByUser', 'TerminatedBySystem', 'Queued', 'InnerFailure', 'PreexistingAlert', 'UnsupportedOs', 'UnsupportedAlertType', 'SuppressedAlert'.
Tilldelat Sträng Ägaren av aviseringen.
rbacGroupName Sträng NAMN på RBAC-enhetsgrupp.
mitreTechniques Sträng Mitre Enterprise-teknik-ID.
relatedUser Sträng Information om användare som är relaterade till en specifik avisering.
Svårighetsgrad Enum Allvarlighetsgrad för aviseringen. Möjliga värden är: "UnSpecified", "Informational", "Low", "Medium" och "High".
Status Enum Anger aktuell status för aviseringen. Möjliga värden är: "Unknown", "New", "InProgress" och "Resolved".
Klassificering Uppräkning som kan ha värdet Null Specifikation av aviseringen. Möjliga värden är: TruePositive, Informational, expected activityoch FalsePositive.
Bestämning Uppräkning som kan ha värdet Null Anger bestämning av aviseringen.

Möjliga bestämningsvärden för varje klassificering är:

  • Sann positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) och Other (Other).
  • Informationsaktivitet, förväntad aktivitet:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta och Other (Övrigt).
  • Falsk positiv identifiering:Not malicious (Ren) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Not enough data to validate (InsufficientData) och Other (Övrigt).
  • Kategori Sträng Aviseringens kategori.
    detectionSource Sträng Identifieringskälla.
    threatFamilyName Sträng Hotfamilj.
    threatName Sträng Hotnamn.
    machineId Sträng ID för en datorentitet som är associerad med aviseringen.
    computerDnsName Sträng fullständigt kvalificerat namn på datorn.
    aadTenantId Sträng Azure Active Directory-ID:t.
    detectorId Sträng ID för detektorn som utlöste aviseringen.
    Kommentarer Lista över aviseringskommentar Objektet Alert Comment innehåller: kommentarssträng, createdBy string och createTime datumtid.
    Bevis Lista över aviseringsbevis Bevis som rör aviseringen. Se exemplet nedan.

    Obs!

    Runt den 29 augusti 2022 kommer tidigare stödda aviseringsbestämningsvärden ("Apt" och "SecurityPersonnel") att bli inaktuella och inte längre tillgängliga via API:et.

    Svarsexempel för att få en enskild avisering:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Använda Microsoft Graph-säkerhets-API:et – betaversionen av Microsoft Graph | Microsoft Learn