Share via


Uyarı kaynak türü

Şunlar için geçerlidir:

Not

Tüm Microsoft Defender'ların ürünlerinde tam kullanılabilir Uyarılar API'si deneyimi için şu adresi ziyaret edin: Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn.

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Not

ABD Kamu müşterisiyseniz lütfen US Government müşterileri için Uç Nokta için Microsoft Defender'de listelenen URI'leri kullanın.

İpucu

Daha iyi performans için coğrafi konumunuza daha yakın olan sunucuyu kullanabilirsiniz:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Yöntemler

Yöntem Dönüş Türü Açıklama
Uyarı alma Uyarı Tek bir uyarı nesnesi alma
Uyarıları listele Uyarı koleksiyonu Uyarı koleksiyonunu listeleme
Uyarıyı güncelleştirme Uyarı Belirli bir uyarıyı güncelleştirme
Grup güncelleştirme uyarıları Bir uyarı grubunu güncelleştirme
Uyarı oluştur Uyarı Gelişmiş Tehdit Avcılığı'ndan alınan olay verilerine dayalı bir uyarı İçerik Oluşturucu
İlgili etki alanlarını listeleme Etki alanı koleksiyonu Uyarıyla ilişkili URL'leri listeleme
İlgili dosyaları listeleme Dosya koleksiyonu Uyarıyla ilişkili dosya varlıklarını listeleme
İlgili IP'leri listeleme IP koleksiyonu Uyarıyla ilişkilendirilmiş IP'leri listeleme
İlgili makineleri alma Makine Uyarıyla ilişkilendirilmiş makine
İlgili kullanıcıları alma Kullanıcı Uyarıyla ilişkilendirilmiş kullanıcı

Özellikler

Özellik Tür Açıklama
Kimlik Dize Uyarı Kimliği.
Başlık Dize Uyarı başlığı.
Açıklama Dize Uyarı açıklaması.
alertCreationTime Null Atanabilir DateTimeOffset Uyarının oluşturulduğu tarih ve saat (UTC olarak).
lastEventTime Null Atanabilir DateTimeOffset Aynı cihazda uyarıyı tetikleyen olayın son oluşumu.
firstEventTime Null Atanabilir DateTimeOffset Bu cihazda uyarıyı tetikleyen olayın ilk oluşumu.
lastUpdateTime Null Atanabilir DateTimeOffset Uyarının son güncelleştirildiği tarih ve saat (UTC olarak).
resolvedTime Null Atanabilir DateTimeOffset Uyarının durumunun Çözümlendi olarak değiştirildiği tarih ve saat.
incidentId Boş Değer Atanabilir Uzun Uyarının Olay Kimliği.
investigationId Boş Değer Atanabilir Uzun Uyarı ile ilgili Araştırma Kimliği.
investigationState Null Atanabilir Sabit Listesi Araştırmanın geçerli durumu. Olası değerler şunlardır: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
Atanan Dize Uyarının sahibi.
rbacGroupName Dize Rol tabanlı erişim denetimi cihaz grubu adı.
mitreTechniques Dize Mitre Enterprise teknik kimliği.
relatedUser Dize Belirli bir uyarıyla ilgili kullanıcının ayrıntıları.
Önem Enum Uyarının önem derecesi. Olası değerler şunlardır: Belirtilmemiş, Bilgilendirici, Düşük, Orta ve Yüksek.
Durum Enum Uyarının geçerli durumunu belirtir. Olası değerler şunlardır: Bilinmiyor, Yeni, InProgress ve Resolved.
Sınıflandırma Null Atanabilir Sabit Listesi Uyarının belirtimi. Olası değerler şunlardır: TruePositive, Informational, expected activityve FalsePositive.
Belirlenmesi Null Atanabilir Sabit Listesi Uyarının belirlenmesini belirtir.

Her sınıflandırma için olası belirleme değerleri şunlardır:

  • Doğru pozitif: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – genel API'deki numaralandırma adını buna göre değiştirmeyi göz önünde bulundurun, Malware (Kötü Amaçlı Yazılım), Phishing (Kimlik Avı), Unwanted software (İstenmeyenSoftware) ve Other (Diğer).
  • Bilgilendirici, beklenen etkinlik:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - genel API'deki sabit listesi adını buna göre ve Other (Diğer) değiştirmeyi göz önünde bulundurun.
  • Hatalı pozitif:Not malicious (Temiz) - Genel API'deki sabit listesi adını uygun şekilde değiştirmeyi göz önünde bulundurun, Not enough data to validate (InsufficientData) ve Other (Diğer).
  • Kategori Dize Uyarı kategorisi.
    detectionSource Dize Algılama kaynağı.
    threatFamilyName Dize Tehdit ailesi.
    threatName Dize Tehdit adı.
    machineId Dize Uyarıyla ilişkilendirilmiş bir makine varlığının kimliği.
    computerDnsName Dize makine tam adı.
    aadTenantId Dize Microsoft Entra ID.
    detectorId Dize Uyarıyı tetikleyen algılayıcının kimliği.
    Yorum Uyarı açıklamalarının listesi Uyarı Açıklaması nesnesi şunları içerir: açıklama dizesi, createdBy dizesi ve createTime tarih saati.
    Kanıt Uyarı kanıtı listesi Uyarıyla ilgili kanıt. Aşağıdaki örne bakın.

    Not

    29 Ağustos 2022'de daha önce desteklenen uyarı belirleme değerleri (Apt ve SecurityPersonnel) kullanım dışı bırakılacak ve artık API aracılığıyla kullanılamayacaktır.

    Tek bir uyarı almak için yanıt örneği:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn

    İpucu

    Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.