アラート リソースの種類
適用対象:
注:
すべての Microsoft Defenders 製品で使用可能なアラート API エクスペリエンスの詳細については、「 Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
注:
米国政府機関のお客様は、 Microsoft Defender for Endpoint for US Government のお客様に記載されている URI を使用してください。
ヒント
パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
メソッド
メソッド | 戻り値の型 | 説明 |
---|---|---|
警告の取得 | アラート | 1 つの アラート オブジェクトを取得する |
アラートの一覧表示 | アラート コレクション | アラート コレクションの一覧表示 |
警告の更新 | アラート | 特定のアラートを更新する |
アラートのバッチ更新 | アラートのバッチ を更新する | |
アラートの作成 | アラート | Advanced Hunting から取得したイベント データに基づいてアラートを作成する |
関連ドメインを一覧表示する | ドメイン コレクション | アラートに関連付けられている URL を一覧表示する |
関連ファイルを一覧表示する | ファイル コレクション | アラートに関連付けられているファイル エンティティを一覧表示する |
関連する IP を一覧表示する | IP コレクション | アラートに関連付けられている IP を一覧表示する |
関連するマシンを取得する | マシン | アラートに関連付けられているマシン |
関連ユーザーを取得する | ユーザー | アラートに関連付けられているユーザー |
プロパティ
プロパティ | 型 | 説明 |
---|---|---|
ID | String | アラート ID。 |
title | String | 警告タイトル。 |
説明 | String | 警告の説明。 |
alertCreationTime | Null 許容 DateTimeOffset | アラートが作成された日付と時刻 (UTC)。 |
lastEventTime | Null 許容 DateTimeOffset | 同じデバイスでアラートをトリガーしたイベントの最後の発生。 |
firstEventTime | Null 許容 DateTimeOffset | そのデバイスでアラートをトリガーしたイベントの最初の発生。 |
lastUpdateTime | Null 許容 DateTimeOffset | アラートが最後に更新された日付と時刻 (UTC)。 |
resolvedTime | Null 許容 DateTimeOffset | アラートの状態が 解決済みに変更された日時。 |
incidentId | Null 許容長 | アラートの インシデント ID。 |
investigationId | Null 許容長 | アラートに関連する 調査 ID。 |
investigationState | Null 許容列挙型 | 調査の現在の状態。 使用可能な値は、不明、終了、正常に修復された、良性、失敗、部分修復済み、実行中、PendingApproval、PendingResource、PartiallyInvestigated、TerminatedBySystem、Queued、InnerFailure、PreexistingAlert、UnsupportedAlertType、です。SuppressedAlert。 |
assignedTo | String | アラートの所有者。 |
rbacGroupName | String | ロールベースのアクセス制御デバイス グループ名。 |
mitreTechniques | String | Mitre Enterprise の手法 ID。 |
relatedUser | String | 特定のアラートに関連するユーザーの詳細。 |
severity | 列挙 | アラートの重大度。 使用可能な値は、 UnSpecified、 Informational、 Low、 Medium、 High です。 |
status | 列挙 | アラートの現在の状態を指定します。 使用可能な値は、Unknown、New、InProgress、Resolved です。 |
classification | Null 許容列挙型 | アラートの仕様。 使用可能な値は、 TruePositive 、 Informational, expected activity 、および FalsePositive です。 |
決定 | Null 許容列挙型 | アラートの決定を指定します。 分類ごとに考えられる決定値は次のとおりです。 Multistage attack (MultiStagedAttack)、 Malicious user activity (MaliciousUserActivity)、 Compromised account (CompromisedUser) - パブリック API の列挙型名を適宜変更することを検討してください。それに応じて、 Malware (マルウェア)、 Phishing (フィッシング)、 Unwanted software (UnwantedSoftware)、 Other (Other)。 Security test (SecurityTesting)、 Line-of-business application (LineOfBusinessApplication)、 Confirmed activity (ConfirmedUserActivity) - パブリック API の列挙名を適宜変更し、 Other (その他) を検討してください。 Not malicious (クリーン) - パブリック API の列挙名を適宜、 Not enough data to validate (InsufficientData)、 Other (その他) に変更することを検討してください。 |
category | String | アラートのカテゴリ。 |
detectionSource | String | 検出ソース。 |
threatFamilyName | String | 脅威ファミリ。 |
threatName | String | 脅威名。 |
MachineId | String | アラートに関連付けられている マシン エンティティの ID。 |
computerDnsName | String | マシン の完全修飾名。 |
aadTenantId | String | Microsoft Entra ID。 |
detectorId | String | アラートをトリガーした検出機能の ID。 |
comments | アラート コメントの一覧 | Alert Comment オブジェクトには、コメント文字列、createdBy 文字列、createTime 日付時刻が含まれます。 |
証拠 | アラートの証拠の一覧 | アラートに関連する証拠。 次の例をご覧ください。 |
注:
2022 年 8 月 29 日頃、以前にサポートされていたアラート決定値 (Apt と SecurityPersonnel) は非推奨となり、API を介して使用できなくなります。
1 つのアラートを取得するための応答の例:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
関連記事
Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。