警报资源类型

适用于:

备注

有关所有 Microsoft Defenders 产品的完整可用警报 API 体验,请访问: 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

备注

如果你是美国政府客户,请使用 适用于美国政府客户的 Microsoft Defender for Endpoint 中列出的 URI。

提示

为了提高性能,可以使用离地理位置更近的服务器:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

方法

方法 返回类型 说明
获取警报 提醒 获取单个 警报 对象
列出警报 警报 收集 列出 警报 集合
更新警报 提醒 更新特定 警报
批量更新警报 更新一批 警报
创建警报 提醒 基于从高级搜寻获取的事件数据创建警报
列出相关域 域集合 列出与警报关联的 URL
列出相关文件 文件 集合 列出与警报关联的文件实体
列出相关 IP IP 集合 列出与警报关联的 IP
获取相关计算机 计算机 警报关联的计算机
获取相关用户 用户 警报关联的用户

属性

属性 类型 说明
ID String 警报 ID。
title String 警报标题。
说明 String 警报说明。
alertCreationTime 可为 Null 的 DateTimeOffset 创建警报) UTC (日期和时间。
lastEventTime 可为 Null 的 DateTimeOffset 在同一设备上触发警报的事件的最后一次发生。
firstEventTime 可为 Null 的 DateTimeOffset 在该设备上触发警报的事件的第一个匹配项。
lastUpdateTime 可为 Null 的 DateTimeOffset 上次更新警报) UTC (日期和时间。
resolvedTime 可为 Null 的 DateTimeOffset 警报状态更改为“ 已解决”的日期和时间。
incidentId 可为空的长 警报 的事件 ID。
investigationId 可为空的长 与警报相关的 调查 ID。
investigationState 可为空枚举 调查的当前状态。 可能的值包括: UnknownTerminatedSuccessfullyRemediated良性FailedPartiallyRemediatedRunningPendingApprovalPendingResourcePartiallyInvestigatedTerminatedByUserTerminatedBySystemQueuedInnerFailurePreexistingAlertUnsupportedOsUnsupportedAlertTypeSuppressedAlert
assignedTo String 警报的所有者。
rbacGroupName String 基于角色的访问控制设备组名称。
mitreTechniques String Mitre Enterprise 技术 ID。
relatedUser String 与特定警报相关的用户的详细信息。
severity 枚举 警报的严重性。 可能的值为: UnSpecifiedInformationalLowMediumHigh
status 枚举 指定警报的当前状态。 可能的值为: UnknownNewInProgressResolved
classification 可为空枚举 警报的规范。 可能的值为: TruePositiveInformational, expected activityFalsePositive
测定 可为空枚举 指定警报的确定。

每个分类的可能确定值为:

  • 真正Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 考虑相应地更改公共 API 中的枚举名称、 Malware (恶意软件) 、 Phishing (钓鱼) 、 Unwanted software (不需要的Software) 和其他 Other () 。
  • 信息性预期活动:Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedUserActivity) - 考虑相应地更改公共 API 中的枚举名称,并 Other (其他) 。
  • 误报:Not malicious (清理) - 考虑相应地更改公共 API 中的枚举名称, Not enough data to validate (InsufficientData) ,并 Other (其他) 。
  • “类别” String 警报的类别。
    detectionSource String 检测源。
    threatFamilyName String 威胁系列。
    threatName String 威胁名称。
    machineId String 与警报关联的 计算机 实体的 ID。
    computerDnsName String 计算机 完全限定的名称。
    aadTenantId String Microsoft Entra ID。
    detectorId String 触发警报的检测器的 ID。
    comments 警报注释列表 Alert Comment 对象包含:注释字符串、createdBy 字符串和 createTime 日期时间。
    证据 警报证据列表 与警报相关的证据。 请参阅以下示例。

    备注

    在 2022 年 8 月 29 日左右,以前支持的警报确定值 (AptSecurityPersonnel) 将弃用,不再通过 API 提供。

    获取单个警报的响应示例:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn

    提示

    想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区