警示資源類型
適用於:
注意事項
如需所有Microsoft防禦者產品的完整可用警示 API 體驗,請造訪:使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn。
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
注意事項
如果您是美國政府客戶,請使用 適用於美國政府客戶的 Microsoft Defender 中所列的 URI。
提示
為了獲得更好的效能,您可以使用更接近您地理位置的伺服器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
方法
| 方法 | 傳回類型 | 描述 |
|---|---|---|
| 取得警示 | 警示 | 取得單一 警示 物件 |
| 列出警示 | 警示 集合 | 列出 警示 集合 |
| 更新警示 | 警示 | 更新特定 警示 |
| 批次更新警示 | 更新一批 警示 | |
| 建立警示 | 警示 | 根據從進階搜捕取得的事件數據建立警示 |
| 列出相關網域 | 網域集合 | 列出與警示相關聯的 URL |
| 列出相關檔案 | 檔案 集合 | 列出與警示相關聯的檔案實體 |
| 列出相關的IP | IP 集合 | 列出與警示相關聯的IP |
| 取得相關計算機 | 機器 | 與警示相關聯的計算機 |
| 取得相關使用者 | 使用者 | 與警示相關聯的使用者 |
屬性
| 屬性 | 類型 | 描述 |
|---|---|---|
| 識別碼 | 字串 | 警示標識碼。 |
| title | 字串 | 警示標題。 |
| 描述 | 字串 | 警示描述。 |
| alertCreationTime | 可為 Null 的 DateTimeOffset | 建立警示) UTC 中的日期和時間 (。 |
| lastEventTime | 可為 Null 的 DateTimeOffset | 在相同裝置上觸發警示的最後一個事件。 |
| firstEventTime | 可為 Null 的 DateTimeOffset | 在該裝置上觸發警示的第一個事件。 |
| lastUpdateTime | 可為 Null 的 DateTimeOffset | 上次更新警示) UTC 中的日期和時間 (。 |
| resolvedTime | 可為 Null 的 DateTimeOffset | 警示狀態變更為已 解決的日期和時間。 |
| incidentId | 可為 Null 的 Long | 警示 的事件 標識碼。 |
| investigationId | 可為 Null 的 Long | 與警示相關的 調查 標識碼。 |
| investigationState | 可為 Null 的列舉 | 調查的目前狀態。 可能的值為:Unknown、Terminated、SuccessfullyRemediated、Benign、Failed、PartiallyRemediated、Running、PendingApproval、PendingResource、PartiallyInvestigated、TerminatedByUser、TerminatedBySystem、Queued、InnerFailure、PreexistingAlert、UnsupportedOs、UnsupportedAlertType、SuppressedAlert。 |
| assignedTo | 字串 | 警示的擁有者。 |
| rbacGroupName | 字串 | 角色型訪問控制裝置組名。 |
| mitreTechniques | 字串 | Mitre Enterprise 技術識別符。 |
| relatedUser | 字串 | 與特定警示相關的使用者詳細數據。 |
| 嚴厲 | Enum | 警示的嚴重性。 可能的值為: UnSpecified、 Informational、 Low、 Medium 和 High。 |
| 狀態 | Enum | 指定警示的目前狀態。 可能的值為: Unknown、 New、 InProgress 和 Resolved。 |
| 分類 | 可為 Null 的列舉 | 警示的規格。 可能的值為: TruePositive、 Informational, expected activity和 FalsePositive。 |
| 測定 | 可為 Null 的列舉 | 指定警示的判斷。 每個分類的可能判斷值如下: Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 請考慮據以變更公用 API 中的列舉名稱、 Malware (惡意代碼) 、 Phishing (網路釣魚) 、 Unwanted software (UnwantedSoftware) ,以及 Other (其他) 。 Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedUserActivity) - 請考慮據以變更公用 API 中的列舉名稱, (Other 其他) 。 Not malicious (Clean) - 請考慮據以變更公用 API 中的列舉名稱、 Not enough data to validate (InsufficientData) ,以及 Other (其他) 。 |
| 類別 | 字串 | 警示的類別。 |
| detectionSource | 字串 | 偵測來源。 |
| threatFamilyName | 字串 | 威脅系列。 |
| threatName | 字串 | 威脅名稱。 |
| machineId | 字串 | 與警示相關聯之 計算機 實體的標識碼。 |
| computerDnsName | 字串 | 計算機 完整名稱。 |
| aadTenantId | 字串 | Microsoft編碼標識碼。 |
| detectorId | 字串 | 觸發警示之偵測器的標識碼。 |
| 註解 | 警示批注清單 | 警示批注物件包含:批注字串、createdBy 字串和 createTime 日期時間。 |
| 證據 | 警示辨識項清單 | 與警示相關的辨識項。 請參閱下列的範例。 |
注意事項
在 2022 年 8 月 29 日左右,先前支援的警示判斷值 (Apt 和 SecurityPersonnel) 將會被取代,且不再可透過 API 使用。
取得單一警示的回應範例:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
相關文章
使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。