Uyarı kaynak türü
Şunlar için geçerlidir:
Not
Tüm Microsoft Defender'ların ürünlerinde tam kullanılabilir Uyarılar API'si deneyimi için şu adresi ziyaret edin: Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn.
Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Not
ABD Kamu müşterisiyseniz lütfen US Government müşterileri için Uç Nokta için Microsoft Defender'da listelenen URI'leri kullanın.
İpucu
Daha iyi performans için coğrafi konumunuza daha yakın olan sunucuyu kullanabilirsiniz:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Yöntemler
| Yöntem | Dönüş Türü | Açıklama |
|---|---|---|
| Uyarı alma | Uyarı | Tek bir uyarı nesnesi alma |
| Uyarıları listele | Uyarı koleksiyonu | Uyarı koleksiyonunu listeleme |
| Uyarıyı güncelleştirme | Uyarı | Belirli bir uyarıyı güncelleştirme |
| Grup güncelleştirme uyarıları | Bir uyarı grubunu güncelleştirme | |
| Uyarı oluştur | Uyarı | Gelişmiş Tehdit Avcılığı'ndan alınan olay verilerini temel alan bir uyarı oluşturma |
| İlgili etki alanlarını listeleme | Etki alanı koleksiyonu | Uyarıyla ilişkili URL'leri listeleme |
| İlgili dosyaları listeleme | Dosya koleksiyonu | Uyarıyla ilişkili dosya varlıklarını listeleme |
| İlgili IP'leri listeleme | IP koleksiyonu | Uyarıyla ilişkilendirilmiş IP'leri listeleme |
| İlgili makineleri alma | Makine | Uyarıyla ilişkilendirilmiş makine |
| İlgili kullanıcıları alma | Kullanıcı | Uyarıyla ilişkilendirilmiş kullanıcı |
Özellikler
| Mülk | Tür | Açıklama |
|---|---|---|
| Kimlik | Dize | Uyarı Kimliği. |
| başlık | Dize | Uyarı başlığı. |
| Açıklama | Dize | Uyarı açıklaması. |
| alertCreationTime | Null Atanabilir DateTimeOffset | Uyarının oluşturulduğu tarih ve saat (UTC olarak). |
| lastEventTime | Null Atanabilir DateTimeOffset | Aynı cihazda uyarıyı tetikleyen olayın son oluşumu. |
| firstEventTime | Null Atanabilir DateTimeOffset | Bu cihazda uyarıyı tetikleyen olayın ilk oluşumu. |
| lastUpdateTime | Null Atanabilir DateTimeOffset | Uyarının son güncelleştirildiği tarih ve saat (UTC olarak). |
| resolvedTime | Null Atanabilir DateTimeOffset | Uyarının durumunun Çözümlendi olarak değiştirildiği tarih ve saat. |
| incidentId | Boş Değer Atanabilir Uzun | Uyarının Olay Kimliği. |
| investigationId | Boş Değer Atanabilir Uzun | Uyarı ile ilgili Araştırma Kimliği. |
| investigationState | Null Atanabilir Sabit Listesi | Araştırmanın geçerli durumu. Olası değerler şunlardır: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| assignedTo | Dize | Uyarının sahibi. |
| rbacGroupName | Dize | Rol tabanlı erişim denetimi cihaz grubu adı. |
| mitreTechniques | Dize | Mitre Enterprise teknik kimliği. |
| relatedUser | Dize | Belirli bir uyarıyla ilgili kullanıcının ayrıntıları. |
| şiddet | Sabit Listesi | Uyarının önem derecesi. Olası değerler şunlardır: Belirtilmemiş, Bilgilendirici, Düşük, Orta ve Yüksek. |
| durum | Sabit Listesi | Uyarının geçerli durumunu belirtir. Olası değerler şunlardır: Bilinmiyor, Yeni, InProgress ve Resolved. |
| sınıflandırma | Null Atanabilir Sabit Listesi | Uyarının belirtimi. Olası değerler şunlardır: TruePositive, Informational, expected activityve FalsePositive. |
| sebat | Null Atanabilir Sabit Listesi | Uyarının belirlenmesini belirtir. Her sınıflandırma için olası belirleme değerleri şunlardır: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – genel API'deki numaralandırma adını buna göre değiştirmeyi göz önünde bulundurun, Malware (Kötü Amaçlı Yazılım), Phishing (Kimlik Avı), Unwanted software (İstenmeyenSoftware) ve Other (Diğer). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - genel API'deki sabit listesi adını buna göre ve Other (Diğer) değiştirmeyi göz önünde bulundurun. Not malicious (Temiz) - Genel API'deki sabit listesi adını uygun şekilde değiştirmeyi göz önünde bulundurun, Not enough data to validate (InsufficientData) ve Other (Diğer). |
| kategori | Dize | Uyarı kategorisi. |
| detectionSource | Dize | Algılama kaynağı. |
| threatFamilyName | Dize | Tehdit ailesi. |
| threatName | Dize | Tehdit adı. |
| machineId | Dize | Uyarıyla ilişkilendirilmiş bir makine varlığının kimliği. |
| computerDnsName | Dize | makine tam adı. |
| aadTenantId | Dize | Microsoft Entra Kimliği. |
| detectorId | Dize | Uyarıyı tetikleyen algılayıcının kimliği. |
| Yorum | Uyarı açıklamalarının listesi | Uyarı Açıklaması nesnesi şunları içerir: açıklama dizesi, createdBy dizesi ve createTime tarih saati. |
| Kanıt | Uyarı kanıtı listesi | Uyarıyla ilgili kanıt. Aşağıdaki örne bakın. |
Not
29 Ağustos 2022'de daha önce desteklenen uyarı belirleme değerleri (Apt ve SecurityPersonnel) kullanım dışı bırakılacak ve artık API aracılığıyla kullanılamayacaktır.
Tek bir uyarı almak için yanıt örneği:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
İlgili makaleler
Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.