使用英语阅读

通过


警报 API

警报 API 提供有关由需要注意Defender for Cloud Apps识别的即时风险的信息。 警报可能是由可疑的使用模式或包含违反公司策略的内容的文件引起的。

下面列出了支持的请求:

已弃用的请求

下表列出了已弃用为已过时的请求,以及替换它们的请求。

已过时的请求 替代方法
批量消除 关闭误报
批量解析 关闭真正
消除警报 关闭误报

备注

已弃用的请求已映射到其替代项,以避免中断。 但是,如果在环境中使用过时的请求,我们建议将它们更新为替代项。

属性

响应对象定义以下属性。

属性 类型 说明
_id int 警报类型标识符
时间戳 long 引发警报的时间戳
实体 list 与警报相关的实体列表
title string 警报的标题
description string 警报的说明
isMarkdown 布尔值 用于指示警报说明是否已以 HTML 格式显示的标志
statusValue int 警报的状态。 可能的值包括:

0:UNREAD
1:READ
2:已存档
severityValue int 警报的严重性。 可能的值包括:

0:LOW
1:中
2:高
3:INFORMATIONAL
resolutionStatusValue int 警报的状态。 可能的值包括:

0:打开
1:已消除
2:已解决
3:FALSE_POSITIVE
4:良性
5:TRUE_POSITIVE
故事 list 风险类别。 可能的值包括:

0:THREAT_DETECTION
1:PRIVILEGED_ACCOUNT_MONITORING
2:符合性
3:DLP
4:发现
5:SHARING_CONTROL
7:ACCESS_CONTROL
8:CONFIGURATION_MONITORING
证据 list 警报main部分的简短说明列表
intent list 一个字段,指定警报背后的终止链相关意向。 可以在此字段中报告多个值。 意向枚举值遵循 MITRE att@ck企业矩阵模型。 有关构成每个意向的不同技术的进一步指导,请参阅 MITRE 的文档。
可能的值包括:

0:未知
1:PREATTACK
2:INITIAL_ACCESS
3:持久性
4:PRIVILEGE_ESCALATION
5:DEFENSE_EVASION
6:CREDENTIAL_ACCESS
7:发现
8:LATERAL_MOVEMENT
9:执行
10:集合
11:外泄
12:COMMAND_AND_CONTROL
13:影响
isPreview 布尔值 最近发布为正式版的警报
审核 (可选) list 与警报相关的事件 ID 列表
threatScore int 用户调查优先级

筛选器

有关筛选器工作原理的信息,请参阅 筛选器

下表描述了支持的筛选器:

筛选器 类型 运算符 说明
entity.entity 实体 pk eq,neq 筛选与指定实体相关的警报。 例如:[{ "id": "entity-id", "inst": 0 }]
entity.ip string eq、neq 筛选与指定 IP 地址相关的警报
entity.service integer eq、neq 筛选与指定服务 appId 相关的警报,例如:11770
entity.instance integer eq、neq 筛选与指定实例相关的警报,例如:11770、1059065
entity.policy string eq、neq 筛选与指定策略相关的警报
entity.file string eq、neq 筛选与指定文件相关的警报
alertOpen boolean eq 如果设置为 true,则仅返回打开的警报;如果设置为 false,则仅返回关闭的警报
severity integer eq、neq 按严重性筛选。 可能的值包括:

0:低
1:中等
2:高
resolutionStatus integer eq、neq 按警报解决状态进行筛选,可能的值包括:

0:打开
1:已关闭 (旧状态)
2:已解决 (旧状态)
3:关闭为误报
4:关闭为良性
5:关闭为真正
阅读 boolean eq 如果设置为 true,则仅返回读取警报;如果设置为 false,则返回未读警报
date 时间戳 lte、gte、range、lte_ndays、gte_ndays 按触发警报的时间进行筛选
resolutionDate 时间戳 lte、gte、range 按警报解决的时间进行筛选
风险 integer eq、neq 按风险筛选
alertType integer eq、neq 按警报类型筛选
ID string eq、neq 按警报 ID 筛选
source string eq 警报的来源(内置或策略)

如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证