Microsoft Defender ATP
Microsoft Defender ATP は、予防的保護、侵害後の検出、自動調査、および対応のための統合プラットフォームです。 詳細はこちら: http://aka.ms/wdatp を参照してください
このコネクタは、次の製品および地域で利用可能です。
| サービス | クラス | 地域 |
|---|---|---|
| Logic Apps | 標準 | 以下を除くすべての Logic Apps 地域 : - Azure China の地域 |
| Power Automate | Premium | 以下を除くすべての Power Automate 地域 : - 21 Vianet が運用する中国のクラウド |
| Power Apps | プレミアム | 以下を除くすべての Power Apps 地域 : - 21 Vianet が運用する中国のクラウド |
| 連絡先 | |
|---|---|
| 件名 | Microsoft |
| URL | Microsoft LogicApps サポート Microsoft Power Automate サポート Microsoft Power Apps サポート |
| コネクタ メタデータ | |
|---|---|
| 公開元 | Microsoft |
| Web サイト | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
接続の作成
コネクタは、次の認証タイプをサポートしています:
| 既定 | 接続を作成するためのパラメーター。 | すべての地域 | 共有不可 |
既定
適用できるもの: すべての領域
接続を作成するためのパラメーター。
これは共有可能な接続ではありません。 パワー アプリが別のユーザーと共有されている場合、別のユーザーは新しい接続を明示的に作成するように求められます。
調整制限
| 名前 | 呼び出し | 更新期間 |
|---|---|---|
| 接続ごとの API 呼び出し | 100 | 60 秒 |
アクション
| IPS - 指定された IP アドレスの統計を取得します |
指定された IP アドレス (IPv4 または IPv6 の形式) に関連する Windows Defender ATP 統計から取得します。 |
|
Remediation |
指定した修復活動を Windows Defender ATP から取得する |
| アクション - 1 つのコンピューター アクションをキャンセル |
特定のコンピューター アクションをキャンセルする |
| アクション - 1 つの調査を取得する |
Microsoft Defender ATP から特定の調査を取得します |
| アクション - アプリの実行制限します |
事前定義されたセットを除く、マシン上のすべてのアプリケーションの実行を制限する |
| アクション - アプリの実行制限を削除します |
マシン上の任意のアプリケーションの実行を有効にする |
| アクション - ウイルス対策スキャンを実行します |
マシンで Windows Defender アンチウイルス スキャンを開始します |
| アクション - マシン アクションのリストを取得します |
Windows Defender ATP から最新のマシン アクションを取得します |
| アクション - マシンで自動調査を開始します (プレビュー) |
マシンで自動調査を開始します |
| アクション - マシンの調査を開始します (非推奨) |
マシンで調査を開始します |
| アクション - マシンをユニソレートします |
マシンをネットワークからユニソレートする |
| アクション - マシンを分離します |
マシンをネットワークから分離する |
| アクション - ライブ応答を実行 |
1 台のコンピューターに対してライブ応答 API コマンドを実行する |
| アクション - ライブ応答コマンドの結果をダウンロードする URI を取得 |
完了したライブ応答コマンドの結果をダウンロードする URI を取得 |
| アクション - 単一のマシン アクションを取得します |
Windows Defender ATP から特定のマシン アクションを取得する |
| アクション - 調査のリストを取得する |
Microsoft Defender ATP から最新の調査を取得します |
| アクション - 調査パッケージのダウンロード URI を取得する |
調査パッケージのダウンロード URI を取得する |
| アクション - 調査パッケージを収集する |
機械から調査パッケージを収集する |
| アラート - アラートのリストを取得します |
Windows Defender ATP から最新のアラートを取得します |
| アラート - アラートの作成 |
特定のイベントに基づいてアラートを作成する |
| アラート - アラートの更新 |
Windows Defender ATP アラートを更新します |
| アラート - 単一のアラートを取得します |
Windows Defender ATP から特定のアラートを取得する |
| ドメイン - 指定されたドメイン名の統計を取得します |
指定したドメイン名に関連する Windows Defender ATP 統計から取得する |
| ファイル - 指定されたファイルの統計を取得します |
識別子 (Sha1 または Sha256) で指定されたファイルからファイルへの Windows Defender ATP 統計から取得します |
| マシン - タグ マシン |
マシンへのタグの追加またはタグの削除 |
| マシン - マシンのリストを取得します |
Windows Defender ATP から最新のマシンを取得します |
| マシン - 単一のマシンを取得します |
Windows Defender ATP から特定のマシンを取得する |
| 修復タスク - 修復活動の一覧を取得 (プレビュー) |
Windows Defender ATP から修復活動を取得する |
| 修復活動 - 関連するコンピューターの一覧を取得 (プレビュー) |
指定した修復活動に関連するコンピューター一覧を Windows Defender ATP から取得する |
| 高度な狩猟 |
Windows Defender ATP でカスタム クエリを実行する |
IPS - 指定された IP アドレスの統計を取得します
指定された IP アドレス (IPv4 または IPv6 の形式) に関連する Windows Defender ATP 統計から取得します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
IP アドレス
|
Ip Address | True | string |
IP アドレス |
|
さかのぼって確認する期間 (時間) です。既定は 24 時間です。
|
lookBackHours | integer |
さかのぼって確認する期間 (時間) です。既定は 24 時間です。 |
戻り値
単一の IP アドレス統計エンティティ
- IP 統計
- IpStats
RemediationActivities - 単一の修復活動を取得 (プレビュー)
指定した修復活動を Windows Defender ATP から取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
修復活動の ID
|
RemediationID | True | string |
取得する修復活動の識別子 |
戻り値
単一の修復活動エンティティ
- 修復活動
- RemediationActivity
アクション - 1 つのコンピューター アクションをキャンセル
特定のコンピューター アクションをキャンセルする
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン アクションの ID
|
Machine Action ID | True | string |
キャンセルするコンピューター アクションの識別子 |
|
コメント
|
Comment | True | string |
コンピューター アクションのキャンセルに関連付けるコメント |
戻り値
単一のマシン アクション エンティティ
- マシン アクション
- MachineAction
アクション - 1 つの調査を取得する
Microsoft Defender ATP から特定の調査を取得します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
調査の ID
|
Investigation ID | True | string |
取得する調査の識別子 |
戻り値
単一の調査エンティティ
アクション - アプリの実行制限します
事前定義されたセットを除く、マシン上のすべてのアプリケーションの実行を制限する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン ID
|
Machine ID | True | string |
制限を解除するするマシンの ID |
|
コメント
|
Comment | True | string |
制限に関連付けるコメント |
戻り値
単一のマシン アクション エンティティ
- マシン アクション
- MachineAction
アクション - アプリの実行制限を削除します
マシン上の任意のアプリケーションの実行を有効にする
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン ID
|
Machine ID | True | string |
制限を解除するするマシンの ID |
|
コメント
|
Comment | True | string |
制限の削除に関連付けるコメント |
戻り値
単一のマシン アクション エンティティ
- マシン アクション
- MachineAction
アクション - ウイルス対策スキャンを実行します
マシンで Windows Defender アンチウイルス スキャンを開始します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン ID
|
Machine ID | True | string |
スキャンするマシンの ID |
|
コメント
|
Comment | True | string |
スキャン要求に関連付けるコメント |
|
スキャンの種類
|
ScanType | True | string |
実行するスキャンの種類。 許可される値は 「Quick」 または 「Full」 です |
戻り値
単一のマシン アクション エンティティ
- マシン アクション
- MachineAction
アクション - マシン アクションのリストを取得します
Windows Defender ATP から最新のマシン アクションを取得します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
結果のフィルター処理
|
$filter | string |
OData 構文を使用して結果をフィルター処理します。 |
|
|
プロパティの選択
|
$select | string |
応答に含めるプロパティを選択します。既定はすべてです。 |
|
|
結果の並べ替え
|
$orderby | string |
結果を並べ替えます。 |
|
|
最初の結果を返す
|
$top | integer |
最初の n 件の結果のみを返します。 |
|
|
最初の結果をスキップする
|
$skip | integer |
最初の n 件の結果をスキップします。 |
|
|
数を含める
|
$count | boolean |
一致する結果の数を応答に含めます。 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
マシン アクション 回数
|
@odata.count | integer |
このクエリで処理可能なマシン アクションの数 |
|
マシン アクション
|
value | array of MachineAction |
返されたマシン アクション |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
アクション - マシンで自動調査を開始します (プレビュー)
マシンで自動調査を開始します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン ID
|
Machine ID | True | string |
調査するするマシンの ID |
|
コメント
|
Comment | True | string |
調査に関連付けるコメント |
戻り値
単一の調査エンティティ
アクション - マシンの調査を開始します (非推奨)
マシンで調査を開始します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン ID
|
Machine ID | True | string |
調査するするマシンの ID |
|
コメント
|
Comment | True | string |
調査に関連付けるコメント |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
調査 ID
|
value | string |
調査の ID |
アクション - マシンをユニソレートします
マシンをネットワークからユニソレートする
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン ID
|
Machine ID | True | string |
ユニソレートするマシンの ID |
|
コメント
|
Comment | True | string |
ユニソレートに関連付けるコメント |
戻り値
単一のマシン アクション エンティティ
- マシン アクション
- MachineAction
アクション - マシンを分離します
マシンをネットワークから分離する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン ID
|
Machine ID | True | string |
分離するマシンの ID |
|
コメント
|
Comment | True | string |
分離に関連付けるコメント |
|
分離の種類
|
IsolationType | True | string |
分離の種類です。 許可される値は、「完全」 (完全な分離の場合) または 「選択的」 (限られたアプリケーションのセットのみがネットワークにアクセスするのを制限するため) です |
戻り値
単一のマシン アクション エンティティ
- マシン アクション
- MachineAction
アクション - ライブ応答を実行
1 台のコンピューターに対してライブ応答 API コマンドを実行する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン ID
|
Machine ID | True | string |
ライブ応答セッションを実行するコンピューターの ID |
|
コメント
|
Comment | True | string |
分離に関連付けるコメント |
|
コマンドの種類
|
type | True | string |
コマンドの種類 |
|
コマンド パラメーター キー
|
key | string |
コマンド パラメーターのキー |
|
|
コマンド パラメーター値
|
value | string |
コマンド パラメーターの値 |
戻り値
単一のマシン アクション エンティティ
- マシン アクション
- MachineAction
アクション - ライブ応答コマンドの結果をダウンロードする URI を取得
完了したライブ応答コマンドの結果をダウンロードする URI を取得
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン アクションの ID
|
Machine Action ID | True | string |
コンピューター アクションの識別子 |
|
ライブ応答コマンドのインデックス
|
Command Index | True | integer |
結果をダウンロードする URI を取得するライブ応答コマンドのインデックス |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
URI のダウンロード
|
value | string |
ライブ応答コマンドのダウンロード URI |
アクション - 単一のマシン アクションを取得します
Windows Defender ATP から特定のマシン アクションを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン アクションの ID
|
Machine Action ID | True | string |
取得するマシン アクションの識別子 |
戻り値
単一のマシン アクション エンティティ
- マシン アクション
- MachineAction
アクション - 調査のリストを取得する
Microsoft Defender ATP から最新の調査を取得します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
結果のフィルター処理
|
$filter | string |
OData 構文を使用して結果をフィルター処理します。 |
|
|
プロパティの選択
|
$select | string |
応答に含めるプロパティを選択します。既定はすべてです。 |
|
|
結果の並べ替え
|
$orderby | string |
結果を並べ替えます。 |
|
|
最初の結果を返す
|
$top | integer |
最初の n 件の結果のみを返します。 |
|
|
最初の結果をスキップする
|
$skip | integer |
最初の n 件の結果をスキップします。 |
|
|
数を含める
|
$count | boolean |
一致する結果の数を応答に含めます。 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
調査回数
|
@odata.count | integer |
このクエリで調査可能な数 |
|
調査
|
value | array of Investigation |
調査が返されました |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
アクション - 調査パッケージのダウンロード URI を取得する
調査パッケージのダウンロード URI を取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
アクション ID
|
Machine action ID | True | string |
調査パッケージ コレクションの ID |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
パッケージ SAS URI
|
value | string |
調査パッケージ SAS URI |
アクション - 調査パッケージを収集する
機械から調査パッケージを収集する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン ID
|
Machine ID | True | string |
調査を収集するマシンの ID |
|
コメント
|
Comment | True | string |
コレクションに関連付けるコメント |
戻り値
単一のマシン アクション エンティティ
- マシン アクション
- MachineAction
アラート - アラートのリストを取得します
Windows Defender ATP から最新のアラートを取得します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
エンティティを展開します
|
$expand | string |
関連するエンティティをインラインで展開します。 |
|
|
結果のフィルター処理
|
$filter | string |
OData 構文を使用して結果をフィルター処理します。 |
|
|
プロパティの選択
|
$select | string |
応答に含めるプロパティを選択します。既定はすべてです。 |
|
|
結果の並べ替え
|
$orderby | string |
結果を並べ替えます。 |
|
|
最初の結果を返す
|
$top | integer |
最初の n 件の結果のみを返します。 |
|
|
最初の結果をスキップする
|
$skip | integer |
最初の n 件の結果をスキップします。 |
|
|
数を含める
|
$count | boolean |
一致する結果の数を応答に含めます。 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アラート回数
|
@odata.count | integer |
このクエリで処理可能なアラートの数 |
|
アラート
|
value | array of Alert |
返されたアラートの数 |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
アラート - アラートの作成
特定のイベントに基づいてアラートを作成する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシン ID
|
machineId | True | string |
イベントが識別されたマシンの ID |
|
レポート ID
|
reportId | True | integer |
イベントのレポート ID |
|
イベント時間
|
eventTime | True | string |
文字列としてのイベントの時刻、例: 2018-08-03T16:45:21.7115183Z |
|
重要度
|
severity | True | string |
アラートの重大度。 |
|
カテゴリ
|
category | True | string |
アラートのカテゴリ |
|
敬称
|
title | True | string |
アラートのタイトル |
|
内容
|
description | True | string |
アラートの説明 |
|
推奨されるアクション
|
recommendedAction | True | string |
アラートの推奨アクション |
戻り値
単一のアラート エンティティ
- Alert
- Alert
アラート - アラートの更新
Windows Defender ATP アラートを更新します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
アラートの ID です
|
Alert ID | True | string |
更新するアラートの識別子 |
|
ステータス
|
status | string |
アラートの状態です。 「New」、「InProgress」、「Resolved」 のいずれか |
|
|
割り当て先
|
assignedTo | string |
アラートを割り当てる人 |
|
|
分類
|
classification | string |
アラートの分類。 「Unknown」、「FalsePositive」、「TruePositive」 のいずれか |
|
|
判定
|
determination | string |
アラートの判定。 「NotAvailable」、「Apt」、「Malware」、「SecurityPersonnel」、「SecurityTesting」、「UnwantedSoftware」、「Other」 のいずれか |
戻り値
単一のアラート エンティティ
- Alert
- Alert
アラート - 単一のアラートを取得します
Windows Defender ATP から特定のアラートを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
アラートの ID です
|
Alert ID | True | string |
取得するアラートの識別子 |
戻り値
単一のアラート エンティティ
- Alert
- Alert
ドメイン - 指定されたドメイン名の統計を取得します
指定したドメイン名に関連する Windows Defender ATP 統計から取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
ドメイン名
|
Domain Name | True | string |
ドメイン名 |
|
さかのぼって確認する期間 (時間) です。既定は 24 時間です。
|
lookBackHours | integer |
さかのぼって確認する期間 (時間) です。既定は 24 時間です。 |
戻り値
単一の IP アドレス統計エンティティ
- ドメイン統計
- DomainStats
ファイル - 指定されたファイルの統計を取得します
識別子 (Sha1 または Sha256) で指定されたファイルからファイルへの Windows Defender ATP 統計から取得します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
ファイル識別子 - Sha1、または Sha256
|
File ID | True | string |
ファイル識別子 - Sha1、または Sha256 |
|
さかのぼって確認する期間 (時間) です。既定は 24 時間です。
|
lookBackHours | integer |
さかのぼって確認する期間 (時間) です。既定は 24 時間です。 |
戻り値
単一のファイル統計エンティティ
- ファイル統計
- FileStats
マシン - タグ マシン
マシンへのタグの追加またはタグの削除
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシンの ID
|
Machine ID | True | string |
タグを追加または削除する必要があるマシンの ID |
|
値
|
Value | True | string |
追加または削除するタグ |
|
操作
|
Action | True | string |
実行されるアクション。 値は、「Add」 (タグを追加する場合) または 「Remove」 (タグを削除する場合) のいずれかである必要があります |
戻り値
単一のマシン エンティティ
- コンピューター
- Machine
マシン - マシンのリストを取得します
Windows Defender ATP から最新のマシンを取得します
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
結果のフィルター処理
|
$filter | string |
OData 構文を使用して結果をフィルター処理します。 |
|
|
プロパティの選択
|
$select | string |
応答に含めるプロパティを選択します。既定はすべてです。 |
|
|
結果の並べ替え
|
$orderby | string |
結果を並べ替えます。 |
|
|
最初の結果を返す
|
$top | integer |
最初の n 件の結果のみを返します。 |
|
|
最初の結果をスキップする
|
$skip | integer |
最初の n 件の結果をスキップします。 |
|
|
数を含める
|
$count | boolean |
一致する結果の数を応答に含めます。 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
コンピューターの数
|
@odata.count | integer |
このクエリで処理可能なコンピューターの数 |
|
コンピューター
|
value | array of Machine |
返されたコンピューターの数 |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
マシン - 単一のマシンを取得します
Windows Defender ATP から特定のマシンを取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
マシンの ID
|
Machine ID | True | string |
取得するマシンの識別子 |
戻り値
単一のマシン エンティティ
- コンピューター
- Machine
修復タスク - 修復活動の一覧を取得 (プレビュー)
Windows Defender ATP から修復活動を取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
結果のフィルター処理
|
$filter | string |
OData 構文を使用して結果をフィルター処理します。 |
|
|
プロパティの選択
|
$select | string |
応答に含めるプロパティを選択します。既定はすべてです。 |
|
|
結果の並べ替え
|
$orderby | string |
結果を並べ替えます。 |
|
|
最初の結果を返す
|
$top | integer |
最初の n 件の結果のみを返します。 |
|
|
最初の結果をスキップする
|
$skip | integer |
最初の n 件の結果をスキップします。 |
|
|
数を含める
|
$count | boolean |
一致する結果の数を応答に含めます。 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
修復活動の数
|
@odata.count | integer |
このクエリによる修復活動の数 |
|
修復活動
|
value | array of RemediationActivity |
戻された修復活動 |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
修復活動 - 関連するコンピューターの一覧を取得 (プレビュー)
指定した修復活動に関連するコンピューター一覧を Windows Defender ATP から取得する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
修復活動の ID
|
RemediationID | True | string |
取得する修復活動の識別子 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
コンピューターの数
|
@odata.count | integer |
このクエリで処理可能なコンピューターの数 |
|
コンピューター
|
value | array of Machine |
返されたコンピューターの数 |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
高度な狩猟
Windows Defender ATP でカスタム クエリを実行する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
Query
|
Query | True | string |
実行するクエリ |
戻り値
トリガー
| トリガー - 新しい WDATP アラートが発生したときにトリガーします |
Windows Defender ATP アラートを登録する |
| 新しい修復活動の作成時にトリガーする (プレビュー) |
新しい修復活動の作成時にトリガーする |
トリガー - 新しい WDATP アラートが発生したときにトリガーします
新しい修復活動の作成時にトリガーする (プレビュー)
新しい修復活動の作成時にトリガーする
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
修復活動の数
|
@odata.count | integer |
このクエリによる修復活動の数 |
|
修復活動
|
value | array of RemediationActivity |
戻された修復活動 |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
定義
Alert
単一のアラート エンティティ
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アラート ID
|
id | string |
アラート識別子 |
|
インシデント ID
|
incidentId | integer |
インシデントの ID |
|
調査 ID
|
investigationId | integer |
調査の ID |
|
アラートの重大度
|
severity | string |
アラートの重大度 |
|
ステータス
|
status | string |
アラートの状態 |
|
内容
|
description | string |
アラートの説明 |
|
アラート作成時間
|
alertCreationTime | date-time |
アラートが作成された時刻 |
|
カテゴリ
|
category | string |
アラート カテゴリ |
|
敬称
|
title | string |
アラートのタイトル |
|
脅威の家族名
|
threatFamilyName | string |
脅威の家族名 |
|
検出ソース
|
detectionSource | string |
検出ソース |
|
分類
|
classification | string |
アラート分類 |
|
判定
|
determination | string |
アラート判定 |
|
割り当て先
|
assignedTo | string |
アラートが割り当てられた人 |
|
解決時間
|
resolvedTime | string |
アラートが解決された時間 |
|
最終イベント時間
|
lastEventTime | date-time |
アラートに関連する最終イベントの時間 |
|
初回イベント時間
|
firstEventTime | date-time |
アラートに関連する初回イベントの時間 |
|
マシン ID
|
machineId | string |
アラートに関連するマシンの識別子 |
コンピューター
単一のマシン エンティティ
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
マシン ID
|
id | string |
マシンの識別子 |
|
コンピューター名
|
computerDnsName | string |
コンピュータ名 |
|
最初の画面
|
firstSeen | date-time |
マシンが受信した初回イベントの時間 |
|
最後の表示
|
lastSeen | date-time |
マシンが受信した最終イベントの時間 |
|
OS プラットフォーム
|
osPlatform | string |
マシンの OS プラットフォーム |
|
OS バージョン
|
osVersion | string |
マシンの OS バージョン |
|
システム製品名
|
systemProductName | date-time |
systemProductName |
|
最後の IP アドレス
|
lastIpAddress | string |
マシンの最後の IP アドレス |
|
最後の外部 IP アドレス
|
lastExternalIpAddress | string |
マシンの最後の外部 IP アドレス |
|
エージェントのバージョン
|
agentVersion | string |
エージェントのバージョン |
|
OS ビルド
|
osBuild | integer |
マシンの OS ビルド |
|
正常性状態
|
healthStatus | string |
マシンの正常性状態 |
|
参加した Microsoft Entra ID です
|
isAadJoined | boolean |
コンピュータが Microsoft Entra ID に参加しているかどうかを示すフラグ |
|
マシン タグ
|
machineTags | array of string |
マシンに関連付けられているタグ |
|
RBAC グループ ID
|
rbacGroupId | integer |
マシンが属する RBAC グループの ID |
|
RBAC グループ名
|
rbacGroupName | string |
マシンが属する RBAC グループ名 |
|
リスク スコア
|
riskScore | string |
マシンがどれだけリスクにさらされているかを示すスコア |
|
Microsoft Entra ID デバイス ID
|
aadDeviceId | string |
aadDeviceId |
RemediationActivity
単一の修復活動エンティティ
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
修復活動 ID
|
id | string |
修復活動の ID |
|
修復活動のタイトル
|
title | string |
修復活動のタイトル |
|
作成日時
|
createdOn | date-time |
修復活動が作成された時刻 |
|
状態の最終変更日時
|
statusLastModifiedOn | date-time |
状態が最後に変更された日時 |
|
作成者 ID
|
requesterId | string |
修復活動の作成者 ID |
|
作成者のメール
|
requesterEmail | string |
修復活動の作成者の電子メール アドレス |
|
ステータス
|
status | string |
修復活動の状態 |
|
内容
|
description | string |
修復活動の説明 |
|
関連コンポーネント
|
relatedComponent | string |
修復活動関連コンポーネント |
|
対象のデバイス
|
targetDevices | integer |
修復活動の対象であるコンピューターの数 |
|
Rbac グループ名
|
rbacGroupNames | array of string |
修復活動に関連付けられた rbac グループ名 |
|
修復済みデバイス
|
fixedDevices | integer |
修復活動が終了したコンピューターの数 |
|
作成者メモ
|
requesterNotes | string |
修復活動の作成者メモ |
|
期限
|
dueOn | date-time |
修復活動の期限 |
|
カテゴリ
|
category | string |
修復活動のカテゴリ |
|
生産性に影響する修復の種類
|
productivityImpactRemediationType | string |
修復による生産性への影響の種類 |
|
優先順位
|
priority | string |
修復活動の優先度 |
|
完了方法
|
completionMethod | string |
修復活動の完了方法 |
|
完了者 ID
|
completerId | string |
修復活動の完了者のオブジェクト ID |
|
完了者の電子メール
|
completerEmail | string |
この修復活動の完了者の電子メール アドレス |
|
セキュリティ構成 ID
|
scid | string |
修復活動のセキュリティ構成 ID |
|
タイプ
|
type | string |
修復活動の種類 |
|
製品 ID
|
productId | string |
製品 ID |
|
ベンダー ID
|
vendorId | string |
ベンダー ID |
|
名前 ID
|
nameId | string |
名前 ID |
|
推奨されるバージョン
|
recommendedVersion | string |
推奨されるバージョン |
|
推奨されるベンダー
|
recommendedVendor | string |
推奨されるベンダー |
|
推奨されるプログラム
|
recommendedProgram | string |
推奨されるプログラム |
|
レコメンデーション参照
|
RecommendationReference | string |
レコメンデーション参照 |
MachineAction
単一のマシン アクション エンティティ
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アクション ID
|
id | string |
マシン アクションの ID |
|
アクションの種類
|
type | string |
アクションのタイプ (例: 「Isolate」、「CollectInvestigationPackage」、...) |
|
要請者
|
requestor | string |
マシン アクションをリクエストした人 |
|
コメント
|
requestorComment | string |
マシン アクションに関連付けられているコメント |
|
ステータス
|
status | string |
マシン アクションのステータス (例: 「InProgress」) |
|
ID
|
machineId | string |
アクションが実行されたマシンの ID |
|
作成時間
|
creationDateTimeUtc | date-time |
アクションが要求された UTC 時間 |
|
最終更新時刻
|
lastUpdateDateTimeUtc | date-time |
アクションが更新された最後の UTC 時間 |
|
コマンド
|
commands | array of LiveResponseCommandStatus |
ライブ応答コンピューター アクション コマンド |
LiveResponseCommandStatus
ライブ応答のコンピューター アクション エンティティの 1 つのコマンド
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
コマンド インデックス
|
index | integer |
コマンドのインデックス |
|
コマンド実行開始時刻
|
startTime | date-time |
コマンド実行開始時刻 (UTC) |
|
コマンド実行終了時刻
|
endTime | date-time |
コマンド実行終了時刻 (UTC) |
|
コマンドの状態
|
commandStatus | string |
コマンド実行の状態 ('完了' など) |
|
コマンド エラー
|
errors | array of string |
コマンド実行エラーの一覧です。 エラーが報告されていない場合は、空の一覧になります。 |
|
コマンド
|
command | LiveResponseCommand |
LiveResponseCommand
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
コマンドの種類
|
type | string |
コマンドの種類 |
|
コマンド パラメーター
|
params | array of object |
コマンド パラメーターの一覧です。 |
|
コマンド パラメーター キー
|
params.key | string |
コマンド パラメーターのキー |
|
コマンド パラメーター値
|
params.value | string |
コマンド パラメーターの値 |
FileStats
単一のファイル統計エンティティ
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
Sha1
|
sha1 | string |
ファイルの sha1 |
|
グローバル普及率
|
globallyPrevalence | integer |
ファイルのグローバル普及率です。 |
|
グローバルでの最初の観察
|
globalFirstObserved | date-time |
ファイルが最初にグローバルで観察された時間です。 |
|
グローバルでの最後の観察
|
globalLastObserved | date-time |
ファイルが最後に観察された時間です。 |
|
組織普及率
|
organizationPrevalence | integer |
組織全体のファイル普及率 |
|
組織での最初の観察
|
orgFirstSeen | date-time |
組織で最初にファイルが観察された時間です。 |
|
組織での最後の観察
|
orgLastSeen | date-time |
組織で最後にファイルが観察された時間です。 |
|
上位のファイル名
|
topFileNames | array of string |
このファイルが表示されたファイル名です。 |
IpStats
単一の IP アドレス統計エンティティ
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
IP アドレス
|
ipAddress | string |
IP アドレス |
|
組織普及率
|
organizationPrevalence | integer |
組織全体の IP アドレス普及率 |
|
組織での最初の観察
|
orgFirstSeen | date-time |
組織で最初に IP アドレスが観察された時間です。 |
|
組織での最後の観察
|
orgLastSeen | date-time |
組織で最後に IP アドレスが観察された時間です。 |
DomainStats
単一の IP アドレス統計エンティティ
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ホスト
|
host | string |
ドメイン ホストです。 |
|
組織普及率
|
organizationPrevalence | integer |
組織全体のドメイン普及率 |
|
組織での最初の観察
|
orgFirstSeen | date-time |
組織で最初にドメインが観察された時間です。 |
|
組織での最後の観察
|
orgLastSeen | date-time |
組織で最後にドメインが観察された時間です。 |
調査
単一の調査エンティティ
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ID
|
id | string |
調査の ID |
|
調査状況
|
state | string |
調査の状況 (例: 「Benign」、「Running」 など) |
|
状態の詳細
|
statusDetails | string |
ステータスの詳細 |
|
コンピューター名
|
computerDnsName | string |
コンピュータ名 |
|
マシン ID
|
machineId | string |
マシンの ID |
|
開始時刻
|
startTime | date-time |
調査が開始された UTC 時間 |
|
終了時刻
|
endTime | date-time |
調査が完了した UTC 時間 |
WebHookNotification
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アラート ID
|
id | string | |
|
マシン ID
|
machineId | string |