Delen via

Api voor waarschuwingen weergeven

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.


Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.


Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:



Hiermee wordt een verzameling waarschuwingen opgehaald.

Ondersteunt OData V4-query's.

Door OData ondersteunde operators:

  • $filterop: alertCreationTime, lastUpdateTime, incidentId, InvestigationId, id, , asssignedTo, detectionSource, lastEventTime, statusen categoryseverity eigenschappen.
  • $top met een maximale waarde van 10.000
  • $skip
  • $expand van evidence
  • Zie voorbeelden bij OData-query's met Microsoft Defender voor Eindpunt.


  1. U kunt waarschuwingen voor het laatst laten bijwerken op basis van de geconfigureerde bewaarperiode.

  2. Het maximale paginaformaat is 10.000.

  3. Frequentiebeperkingen voor deze API zijn 100 aanroepen per minuut en 1500 aanroepen per uur.


Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Use Microsoft Defender voor Eindpunt API's (Api's voor Microsoft Defender voor Eindpunt gebruiken) voor meer informatie, waaronder het kiezen van machtigingen.

Machtigingstype Machtiging Weergavenaam van machtiging
Toepassing Alert.Read.All Read all alerts
Toepassing Alert.ReadWrite.All Read and write all alerts
Gedelegeerd (werk- of schoolaccount) Waarschuwing.Lezen Read alerts
Gedelegeerd (werk- of schoolaccount) Alert.ReadWrite Read and write alerts


Bij het verkrijgen van een token met behulp van gebruikersreferenties:

  • De gebruiker moet ten minste de volgende rolmachtiging hebben: View Data (zie Rollen maken en beheren voor meer informatie)
  • Het antwoord bevat alleen waarschuwingen die zijn gekoppeld aan apparaten waartoe de gebruiker toegang heeft, op basis van apparaatgroepsinstellingen (zie Apparaatgroepen maken en beheren voor meer informatie)

Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.


GET /api/alerts


Naam Type Beschrijving
Machtiging Tekenreeks Bearer {token}. Vereist.




Als dit lukt, retourneert deze methode 200 OK en een lijst met waarschuwingsobjecten in de antwoordtekst.

Voorbeeld 1- Standaard


Hier volgt een voorbeeld van de aanvraag.



Hier volgt een voorbeeld van het antwoord.


De antwoordlijst die hier wordt weergegeven, kan kortheidshalve worden afgekapt. Alle waarschuwingen worden geretourneerd vanuit een werkelijke aanroep.

    "@odata.context": "$metadata#Alerts",
    "value": [
            "id": "da637308392288907382_-880718168",
            "incidentId": 7587,
            "investigationId": 723156,
            "assignedTo": "",
            "severity": "Low",
            "status": "New",
            "classification": "TruePositive",
            "determination": null,
            "investigationState": "Queued",
            "detectionSource": "WindowsDefenderAv",
            "category": "SuspiciousActivity",
            "threatFamilyName": "Meterpreter",
            "title": "Suspicious 'Meterpreter' behavior was detected",
            "description": "Malware and unwanted software are undesirable applications that perform annoying, disruptive, or harmful actions on affected machines. Some of these undesirable applications can replicate and spread from one machine to another. Others are able to receive commands from remote attackers and perform activities associated with cyber attacks.\n\nA malware is considered active if it is found running on the machine or it already has persistence mechanisms in place. Active malware detections are assigned higher severity ratings.\n\nBecause this malware was active, take precautionary measures and check for residual signs of infection.",
            "alertCreationTime": "2020-07-20T10:53:48.7657932Z",
            "firstEventTime": "2020-07-20T10:52:17.6654369Z",
            "lastEventTime": "2020-07-20T10:52:18.1362905Z",
            "lastUpdateTime": "2020-07-20T10:53:50.19Z",
            "resolvedTime": null,
            "machineId": "12ee6dd8c833c8a052ea231ec1b19adaf497b625",
            "computerDnsName": "",
            "rbacGroupName": "MiddleEast",
            "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
            "threatName": null,
            "mitreTechniques": [
            "relatedUser": {
                "userName": "temp123",
                "domainName": "DOMAIN"
            "comments": [
                    "comment": "test comment for docs",
                    "createdBy": "",
                    "createdTime": "2020-07-21T01:00:37.8404534Z"
            "evidence": []


Hier volgt een voorbeeld van de aanvraag.



Hier volgt een voorbeeld van het antwoord.


De antwoordlijst die hier wordt weergegeven, kan kortheidshalve worden afgekapt. Alle waarschuwingen worden geretourneerd vanuit een werkelijke aanroep.

    "@odata.context": "$metadata#Alerts",
    "value": [
            "id": "da637472900382838869_1364969609",
            "incidentId": 1126093,
            "investigationId": null,
            "assignedTo": null,
            "severity": "Low",
            "status": "New",
            "classification": null,
            "determination": null,
            "investigationState": "Queued",
            "detectionSource": "WindowsDefenderAtp",
            "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
            "category": "Execution",
            "threatFamilyName": null,
            "title": "Low-reputation arbitrary code executed by signed executable",
            "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
            "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
            "firstEventTime": "2021-01-26T20:31:32.9562661Z",
            "lastEventTime": "2021-01-26T20:31:33.0577322Z",
            "lastUpdateTime": "2021-01-26T20:33:59.2Z",
            "resolvedTime": null,
            "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
            "computerDnsName": "",
            "rbacGroupName": "A",
            "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
            "threatName": null,
            "mitreTechniques": [
            "relatedUser": {
                "userName": "temp123",
                "domainName": "DOMAIN"
            "comments": [
                    "comment": "test comment for docs",
                    "createdBy": "",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
            "evidence": [
                    "entityType": "User",
                    "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                    "sha1": null,
                    "sha256": null,
                    "fileName": null,
                    "filePath": null,
                    "processId": null,
                    "processCommandLine": null,
                    "processCreationTime": null,
                    "parentProcessId": null,
                    "parentProcessCreationTime": null,
                    "parentProcessFileName": null,
                    "parentProcessFilePath": null,
                    "ipAddress": null,
                    "url": null,
                    "registryKey": null,
                    "registryHive": null,
                    "registryValueType": null,
                    "registryValue": null,
                    "accountName": "name",
                    "domainName": "DOMAIN",
                    "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                    "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                    "userPrincipalName": "",
                    "detectionStatus": null
                    "entityType": "Process",
                    "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                    "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                    "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                    "fileName": "rundll32.exe",
                    "filePath": "C:\\Windows\\SysWOW64",
                    "processId": 3276,
                    "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                    "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                    "parentProcessId": 8420,
                    "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                    "parentProcessFileName": "rundll32.exe",
                    "parentProcessFilePath": "C:\\Windows\\System32",
                    "ipAddress": null,
                    "url": null,
                    "registryKey": null,
                    "registryHive": null,
                    "registryValueType": null,
                    "registryValue": null,
                    "accountName": null,
                    "domainName": null,
                    "userSid": null,
                    "aadUserId": null,
                    "userPrincipalName": null,
                    "detectionStatus": "Detected"
                    "entityType": "File",
                    "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                    "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                    "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                    "fileName": "suspicious.dll",
                    "filePath": "c:\\temp",
                    "processId": null,
                    "processCommandLine": null,
                    "processCreationTime": null,
                    "parentProcessId": null,
                    "parentProcessCreationTime": null,
                    "parentProcessFileName": null,
                    "parentProcessFilePath": null,
                    "ipAddress": null,
                    "url": null,
                    "registryKey": null,
                    "registryHive": null,
                    "registryValueType": null,
                    "registryValue": null,
                    "accountName": null,
                    "domainName": null,
                    "userSid": null,
                    "aadUserId": null,
                    "userPrincipalName": null,
                    "detectionStatus": "Detected"

Zie ook

OData-query's met Microsoft Defender voor Eindpunt


Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.