閱讀英文

共用方式為


警示 API

警示 API 提供您需要注意的 Defender for Cloud Apps 所識別立即風險的相關信息。 警示可能是來自可疑的使用模式,或來自包含違反公司原則之內容的檔案。

下列列出支援的要求:

已被取代的要求

下表列出已被取代為過時的要求,以及取代它們的要求。

過時的要求 另類
大量關閉 關閉誤判
大量解析 關閉真肯定
關閉警示 關閉誤判

注意

已淘汰的要求已對應至其替代方案,以避免中斷。 不過,如果您在環境中使用過時的要求,建議您將其更新為其替代方案。

屬性

回應物件會定義下列屬性。

屬性 類型 描述
_id int 警示類型標識碼
時間戳 long 引發警示的時間戳
實體 清單 與警示相關的實體清單
title 字串 警示的標題
描述 字串 警示的描述
isMarkdown bool 旗標,指出警示的描述是否已在 HTML 中
statusValue int 警示的狀態。 可能的值包括:

0:UNREAD
1:讀取
2:封存
severityValue int 警示的嚴重性。 可能的值包括:

0:LOW
1:MEDIUM
2:HIGH
3:資訊
resolutionStatusValue int 警示的狀態。 可能的值包括:

0:開啟
1:已關閉
2:已解決
3:FALSE_POSITIVE
4:BENIGN
5:TRUE_POSITIVE
故事 清單 風險類別。 可能的值包括:

0:THREAT_DETECTION
1:PRIVILEGED_ACCOUNT_MONITORING
2:合規性
3:DLP
4:探索
5:SHARING_CONTROL
7:ACCESS_CONTROL
8:CONFIGURATION_MONITORING
證據 清單 警示主要部分的簡短描述清單
意圖 清單 欄位,指定警示背後的終止鏈結相關意圖。 您可以在此欄位中回報多個值。 意圖列舉值會遵循 MITRE att@ck企業矩陣模型。 如需構成每個意圖之不同技術的進一步指引,請參閱 MITRE 的檔。
可能的值包括:

0:UNKNOWN
1:PREATTACK
2:INITIAL_ACCESS
3:持續性
4:PRIVILEGE_ESCALATION
5:DEFENSE_EVASION
6:CREDENTIAL_ACCESS
7:探索
8:LATERAL_MOVEMENT
9:執行
10:COLLECTION
11:外流
12:COMMAND_AND_CONTROL
13:影響
isPreview bool 最近發行為 GA 的警示
核 (選擇性) 清單 與警示相關的事件標識碼清單
threatScore int 使用者調查優先順序

篩選

如需篩選如何運作的資訊,請參閱 篩選

下表描述支援的篩選條件:

篩選器 類型 運算子 描述
entity.entity entity pk eq,neq 篩選與指定實體相關的警示。 範例:[{ "id": "entity-id", "inst": 0 }]
entity.ip 字串 eq、neq 篩選與指定IP位址相關的警示
entity.service 整數 eq、neq 篩選與指定服務 appId 相關的警示,例如:11770
entity.instance 整數 eq、neq 篩選與指定實例相關的警示,例如:11770,1059065
entity.policy 字串 eq、neq 篩選與指定原則相關的警示
entity.file 字串 eq、neq 篩選與指定檔案相關的警示
alertOpen 布林值 情 商 如果設定為 true,則只會傳回開啟的警示,如果設為 false,則只會傳回已關閉的警示
嚴厲 整數 eq、neq 依嚴重性篩選。 可能的值包括:

0:低
1:中
2:高
resolutionStatus 整數 eq、neq 依警示解決狀態篩選,可能的值包括:

0:開啟
1:已關閉 (舊版狀態)
2:已解決 (舊版狀態)
3:關閉為誤判
4:關閉為良性
5:關閉為真肯定
布林值 情 商 如果設定為 true,則只會傳回讀取警示,如果設為 false,則會傳回未讀取的警示
date 時間戳 lte、gte、range、lte_ndays、gte_ndays 依觸發警示的時間進行篩選
resolutionDate 時間戳 lte, gte, range 依解決警示的時間進行篩選
風險 整數 eq、neq 依風險篩選
alertType 整數 eq、neq 依警示類型篩選
識別碼 字串 eq、neq 依警示標識碼篩選
字串 情 商 警示的來源,不論是內建或原則

如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證