警报 API
警报 API 提供有关由需要注意Defender for Cloud Apps识别的即时风险的信息。 警报可能是由可疑的使用模式或包含违反公司策略的内容的文件引起的。
下面列出了支持的请求:
下表列出了已弃用为已过时的请求,以及替换它们的请求。
备注
已弃用的请求已映射到其替代项,以避免中断。 但是,如果在环境中使用过时的请求,我们建议将它们更新为替代项。
响应对象定义以下属性。
属性 | 类型 | 说明 |
---|---|---|
_id | int | 警报类型标识符 |
时间戳 | long | 引发警报的时间戳 |
实体 | list | 与警报相关的实体列表 |
title | string | 警报的标题 |
description | string | 警报的说明 |
isMarkdown | 布尔值 | 用于指示警报说明是否已以 HTML 格式显示的标志 |
statusValue | int | 警报的状态。 可能的值包括: 0:UNREAD 1:READ 2:已存档 |
severityValue | int | 警报的严重性。 可能的值包括: 0:LOW 1:中 2:高 3:INFORMATIONAL |
resolutionStatusValue | int | 警报的状态。 可能的值包括: 0:打开 1:已消除 2:已解决 3:FALSE_POSITIVE 4:良性 5:TRUE_POSITIVE |
故事 | list | 风险类别。 可能的值包括: 0:THREAT_DETECTION 1:PRIVILEGED_ACCOUNT_MONITORING 2:符合性 3:DLP 4:发现 5:SHARING_CONTROL 7:ACCESS_CONTROL 8:CONFIGURATION_MONITORING |
证据 | list | 警报main部分的简短说明列表 |
intent | list | 一个字段,指定警报背后的终止链相关意向。 可以在此字段中报告多个值。
意向枚举值遵循 MITRE att@ck企业矩阵模型。 有关构成每个意向的不同技术的进一步指导,请参阅 MITRE 的文档。 可能的值包括: 0:未知 1:PREATTACK 2:INITIAL_ACCESS 3:持久性 4:PRIVILEGE_ESCALATION 5:DEFENSE_EVASION 6:CREDENTIAL_ACCESS 7:发现 8:LATERAL_MOVEMENT 9:执行 10:集合 11:外泄 12:COMMAND_AND_CONTROL 13:影响 |
isPreview | 布尔值 | 最近发布为正式版的警报 |
审核 (可选) | list | 与警报相关的事件 ID 列表 |
threatScore | int | 用户调查优先级 |
有关筛选器工作原理的信息,请参阅 筛选器。
下表描述了支持的筛选器:
筛选器 | 类型 | 运算符 | 说明 |
---|---|---|---|
entity.entity | 实体 pk | eq,neq | 筛选与指定实体相关的警报。 例如:[{ "id": "entity-id", "inst": 0 }] |
entity.ip | string | eq、neq | 筛选与指定 IP 地址相关的警报 |
entity.service | integer | eq、neq | 筛选与指定服务 appId 相关的警报,例如:11770 |
entity.instance | integer | eq、neq | 筛选与指定实例相关的警报,例如:11770、1059065 |
entity.policy | string | eq、neq | 筛选与指定策略相关的警报 |
entity.file | string | eq、neq | 筛选与指定文件相关的警报 |
alertOpen | boolean | eq | 如果设置为 true,则仅返回打开的警报;如果设置为 false,则仅返回关闭的警报 |
severity | integer | eq、neq | 按严重性筛选。 可能的值包括: 0:低 1:中等 2:高 |
resolutionStatus | integer | eq、neq | 按警报解决状态进行筛选,可能的值包括: 0:打开 1:已关闭 (旧状态) 2:已解决 (旧状态) 3:关闭为误报 4:关闭为良性 5:关闭为真正 |
阅读 | boolean | eq | 如果设置为 true,则仅返回读取警报;如果设置为 false,则返回未读警报 |
date | 时间戳 | lte、gte、range、lte_ndays、gte_ndays | 按触发警报的时间进行筛选 |
resolutionDate | 时间戳 | lte、gte、range | 按警报解决的时间进行筛选 |
风险 | integer | eq、neq | 按风险筛选 |
alertType | integer | eq、neq | 按警报类型筛选 |
ID | string | eq、neq | 按警报 ID 筛选 |
source | string | eq | 警报的来源(内置或策略) |
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。