Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Tüm Microsoft Defender'ların ürünlerinde tam kullanılabilir Uyarılar API'si deneyimi için şu adresi ziyaret edin: Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn.
Özellikler
| Mülk | Tür | Açıklama |
|---|---|---|
| Kimlik | Dize | Uyarı Kimliği. |
| başlık | Dize | Uyarı başlığı. |
| Açıklama | Dize | Uyarı açıklaması. |
| alertCreationTime | Null Atanabilir DateTimeOffset | Uyarının oluşturulduğu tarih ve saat (UTC olarak). |
| lastEventTime | Null Atanabilir DateTimeOffset | Aynı cihazda uyarıyı tetikleyen olayın son oluşumu. |
| firstEventTime | Null Atanabilir DateTimeOffset | Bu cihazda uyarıyı tetikleyen olayın ilk oluşumu. |
| lastUpdateTime | Null Atanabilir DateTimeOffset | Uyarının son güncelleştirildiği tarih ve saat (UTC olarak). |
| resolvedTime | Null Atanabilir DateTimeOffset | Uyarının durumunun Çözümlendi olarak değiştirildiği tarih ve saat. |
| incidentId | Boş Değer Atanabilir Uzun | Uyarının Olay Kimliği. |
| investigationId | Boş Değer Atanabilir Uzun | Uyarı ile ilgili Araştırma Kimliği. |
| investigationState | Null Atanabilir Sabit Listesi | Araştırmanın geçerli durumu. Olası değerler şunlardır: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| assignedTo | Dize | Uyarının sahibi. |
| rbacGroupName | Dize | Rol tabanlı erişim denetimi cihaz grubu adı. |
| mitreTechniques | Dize | Mitre Enterprise teknik kimliği. |
| relatedUser | Dize | Belirli bir uyarıyla ilgili kullanıcının ayrıntıları. |
| şiddet | Sabit Listesi | Uyarının önem derecesi. Olası değerler şunlardır: Belirtilmemiş, Bilgilendirici, Düşük, Orta ve Yüksek. |
| durum | Sabit Listesi | Uyarının geçerli durumunu belirtir. Olası değerler şunlardır: Bilinmiyor, Yeni, InProgress ve Resolved. |
| sınıflandırma | Null Atanabilir Sabit Listesi | Uyarının belirtimi. Olası değerler şunlardır: TruePositive, Informational, expected activityve FalsePositive. |
| sebat | Null Atanabilir Sabit Listesi | Uyarının belirlenmesini belirtir. Her sınıflandırma için olası belirleme değerleri şunlardır: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – genel API'deki numaralandırma adını buna göre değiştirmeyi göz önünde bulundurun, Malware (Kötü Amaçlı Yazılım), Phishing (Kimlik Avı), Unwanted software (İstenmeyenSoftware) ve Other (Diğer). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - genel API'deki sabit listesi adını buna göre ve Other (Diğer) değiştirmeyi göz önünde bulundurun. Not malicious (Temiz) - Genel API'deki sabit listesi adını uygun şekilde değiştirmeyi göz önünde bulundurun, Not enough data to validate (InsufficientData) ve Other (Diğer). |
| kategori | Dize | Uyarı kategorisi. |
| detectionSource | Dize | Algılama kaynağı. |
| threatFamilyName | Dize | Tehdit ailesi. |
| threatName | Dize | Tehdit adı. |
| machineId | Dize | Uyarıyla ilişkilendirilmiş bir makine varlığının kimliği. |
| computerDnsName | Dize | makine tam adı. |
| aadTenantId | Dize | Microsoft Entra ID. |
| detectorId | Dize | Uyarıyı tetikleyen algılayıcının kimliği. |
| Yorum | Uyarı açıklamalarının listesi | Uyarı Açıklaması nesnesi şunları içerir: açıklama dizesi, createdBy dizesi ve createTime tarih saati. |
| Kanıt | Uyarı kanıtı listesi | Uyarıyla ilgili kanıt. Aşağıdaki örne bakın. |
Not
29 Ağustos 2022'de daha önce desteklenen uyarı belirleme değerleri (Apt ve SecurityPersonnel) kullanım dışı bırakılacak ve artık API aracılığıyla kullanılamayacaktır.
Tek bir uyarı almak için yanıt örneği:
GET https://api.security.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}