警示 API
警示 API 提供您需要注意的 Defender for Cloud Apps 所識別立即風險的相關信息。 警示可能是來自可疑的使用模式,或來自包含違反公司原則之內容的檔案。
下列列出支援的要求:
下表列出已被取代為過時的要求,以及取代它們的要求。
注意
已淘汰的要求已對應至其替代方案,以避免中斷。 不過,如果您在環境中使用過時的要求,建議您將其更新為其替代方案。
回應物件會定義下列屬性。
屬性 | 類型 | 描述 |
---|---|---|
_id | int | 警示類型標識碼 |
時間戳 | long | 引發警示的時間戳 |
實體 | 清單 | 與警示相關的實體清單 |
title | 字串 | 警示的標題 |
描述 | 字串 | 警示的描述 |
isMarkdown | bool | 旗標,指出警示的描述是否已在 HTML 中 |
statusValue | int | 警示的狀態。 可能的值包括: 0:UNREAD 1:讀取 2:封存 |
severityValue | int | 警示的嚴重性。 可能的值包括: 0:LOW 1:MEDIUM 2:HIGH 3:資訊 |
resolutionStatusValue | int | 警示的狀態。 可能的值包括: 0:開啟 1:已關閉 2:已解決 3:FALSE_POSITIVE 4:BENIGN 5:TRUE_POSITIVE |
故事 | 清單 | 風險類別。 可能的值包括: 0:THREAT_DETECTION 1:PRIVILEGED_ACCOUNT_MONITORING 2:合規性 3:DLP 4:探索 5:SHARING_CONTROL 7:ACCESS_CONTROL 8:CONFIGURATION_MONITORING |
證據 | 清單 | 警示主要部分的簡短描述清單 |
意圖 | 清單 | 欄位,指定警示背後的終止鏈結相關意圖。 您可以在此欄位中回報多個值。
意圖列舉值會遵循 MITRE att@ck企業矩陣模型。 如需構成每個意圖之不同技術的進一步指引,請參閱 MITRE 的檔。 可能的值包括: 0:UNKNOWN 1:PREATTACK 2:INITIAL_ACCESS 3:持續性 4:PRIVILEGE_ESCALATION 5:DEFENSE_EVASION 6:CREDENTIAL_ACCESS 7:探索 8:LATERAL_MOVEMENT 9:執行 10:COLLECTION 11:外流 12:COMMAND_AND_CONTROL 13:影響 |
isPreview | bool | 最近發行為 GA 的警示 |
稽 核 (選擇性) | 清單 | 與警示相關的事件標識碼清單 |
threatScore | int | 使用者調查優先順序 |
如需篩選如何運作的資訊,請參閱 篩選。
下表描述支援的篩選條件:
篩選器 | 類型 | 運算子 | 描述 |
---|---|---|---|
entity.entity | entity pk | eq,neq | 篩選與指定實體相關的警示。 範例:[{ "id": "entity-id", "inst": 0 }] |
entity.ip | 字串 | eq、neq | 篩選與指定IP位址相關的警示 |
entity.service | 整數 | eq、neq | 篩選與指定服務 appId 相關的警示,例如:11770 |
entity.instance | 整數 | eq、neq | 篩選與指定實例相關的警示,例如:11770,1059065 |
entity.policy | 字串 | eq、neq | 篩選與指定原則相關的警示 |
entity.file | 字串 | eq、neq | 篩選與指定檔案相關的警示 |
alertOpen | 布林值 | 情 商 | 如果設定為 true,則只會傳回開啟的警示,如果設為 false,則只會傳回已關閉的警示 |
嚴厲 | 整數 | eq、neq | 依嚴重性篩選。 可能的值包括: 0:低 1:中 2:高 |
resolutionStatus | 整數 | eq、neq | 依警示解決狀態篩選,可能的值包括: 0:開啟 1:已關閉 (舊版狀態) 2:已解決 (舊版狀態) 3:關閉為誤判 4:關閉為良性 5:關閉為真肯定 |
讀 | 布林值 | 情 商 | 如果設定為 true,則只會傳回讀取警示,如果設為 false,則會傳回未讀取的警示 |
date | 時間戳 | lte、gte、range、lte_ndays、gte_ndays | 依觸發警示的時間進行篩選 |
resolutionDate | 時間戳 | lte, gte, range | 依解決警示的時間進行篩選 |
風險 | 整數 | eq、neq | 依風險篩選 |
alertType | 整數 | eq、neq | 依警示類型篩選 |
識別碼 | 字串 | eq、neq | 依警示標識碼篩選 |
源 | 字串 | 情 商 | 警示的來源,不論是內建或原則 |
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。