Typ prostředku upozornění
Platí pro:
Poznámka
Úplné dostupné prostředí rozhraní API pro upozornění ve všech produktech Microsoft Defenderu najdete tady: Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Poznámka
Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v programu Microsoft Defender for Endpoint pro zákazníky státní správy USA.
Tip
Pro lepší výkon můžete použít server blíže k vašemu geografickému umístění:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Metody
Metoda | Návratový typ | Popis |
---|---|---|
Získání upozornění | Upozornění | Získání jednoho objektu upozornění |
Seznam upozornění | Shromažďování výstrah | Vypsat kolekci upozornění |
Upozornění na aktualizaci | Upozornění | Aktualizovat konkrétní výstrahu |
Upozornění na dávkovou aktualizaci | Aktualizace dávky upozornění | |
Vytvořit upozornění | Upozornění | Vytvoření upozornění na základě dat událostí získaných z rozšířeného proaktivního vyhledávání |
Výpis souvisejících domén | Kolekce domén | Seznam adres URL přidružených k upozornění |
Vypsat související soubory | Kolekce souborů | Zobrazení seznamu entit souborů přidružených k upozornění |
Výpis souvisejících IP adres | Kolekce IP adres | Seznam IP adres přidružených k upozornění |
Získání souvisejících počítačů | Počítač | Počítač přidružený k upozornění |
Získání souvisejících uživatelů | Uživatel | Uživatel přidružený k upozornění |
Vlastnosti
Vlastnost | Typ | Popis |
---|---|---|
ID | String | ID upozornění. |
titul | String | Název upozornění. |
description | String | Popis upozornění. |
alertCreationTime | DateTimeOffset s možnou hodnotou null | Datum a čas (v UTC) se upozornění vytvořilo. |
lastEventTime | DateTimeOffset s možnou hodnotou null | Poslední výskyt události, která aktivovala výstrahu na stejném zařízení. |
firstEventTime | DateTimeOffset s možnou hodnotou null | První výskyt události, která aktivovala výstrahu na daném zařízení. |
lastUpdateTime | DateTimeOffset s možnou hodnotou null | Datum a čas (v UTC) byla výstraha naposledy aktualizována. |
resolvedTime | DateTimeOffset s možnou hodnotou null | Datum a čas, kdy se stav výstrahy změnil na Vyřešeno. |
incidentId | Long s možnou hodnotou null | ID incidentu výstrahy. |
investigationId | Long s možnou hodnotou null | ID šetření související s výstrahou |
investigationState | Výčet s možnou hodnotou null | Aktuální stav vyšetřování. Možné hodnoty jsou: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
přiřazeno | String | Vlastník výstrahy. |
rbacGroupName | String | Název skupiny zařízení pro řízení přístupu na základě role. |
MitreTechniques | String | ID techniky Mitre Enterprise. |
relatedUser | String | Podrobnosti o uživateli souvisejícím s konkrétní výstrahou |
závažnost | Výčet | Závažnost výstrahy. Možné hodnoty jsou: Neurčené, Informační, Nízké, Střední a Vysoké. |
stav | Výčet | Určuje aktuální stav výstrahy. Možné hodnoty jsou: Neznámý, Nový, Probíhající a Vyřešeno. |
klasifikace | Výčet s možnou hodnotou null | Specifikace výstrahy. Možné hodnoty jsou: TruePositive , Informational, expected activity a FalsePositive . |
určení | Výčet s možnou hodnotou null | Určuje určení výstrahy. Možné hodnoty určení pro každou klasifikaci jsou: Malware pozitivní: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) a Other (Jiné). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API a Other (Jiné). Not malicious (Čisté) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API Not enough data to validate (InsufficientData) a Other (Other). |
kategorie | String | Kategorie výstrahy. |
detectionSource | String | Zdroj detekce. |
threatFamilyName | String | Rodina hrozeb. |
threatName | String | Název hrozby. |
id počítače | String | ID entity počítače , která je přidružená k upozornění. |
computerDnsName | String | plně kvalifikovaný název počítače. |
aadTenantId | String | ID Microsoft Entra. |
detectorId | String | ID detektoru, který aktivoval výstrahu. |
komentáře | Seznam komentářů k upozorněním | Objekt Alert Comment obsahuje: řetězec komentáře, řetězec createdBy a createTime date time. |
Důkaz | Seznam důkazů o výstrahách | Důkazy týkající se výstrahy. Podívejte se na následující příklad. |
Poznámka
Kolem 29. srpna 2022 budou dříve podporované hodnoty určení výstrah (Apt a SecurityPersonnel) zastaralé a nebudou už dostupné prostřednictvím rozhraní API.
Příklad odpovědi pro získání jednoho upozornění:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
Související články
Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.