Listar alertas
Namespace: microsoft.graph
Recuperar uma lista de objetos de alerta.
Essa API está disponível nas seguintes implantações nacionais de nuvem.
Serviço global | Governo dos EUA L4 | GOVERNO DOS EUA L5 (DOD) | China operada pela 21Vianet |
---|---|---|---|
✅ | ✅ | ✅ | ❌ |
Permissões
Escolha a permissão ou as permissões marcadas como menos privilegiadas para essa API. Use uma permissão ou permissões privilegiadas mais altas somente se o aplicativo exigir. Para obter detalhes sobre permissões delegadas e de aplicativo, consulte Tipos de permissão. Para saber mais sobre essas permissões, consulte a referência de permissões.
Tipo de permissão | Permissões menos privilegiadas | Permissões privilegiadas mais altas |
---|---|---|
Delegado (conta corporativa ou de estudante) | SecurityEvents.Read.All | SecurityEvents.ReadWrite.All |
Delegado (conta pessoal da Microsoft) | Sem suporte. | Sem suporte. |
Application | SecurityEvents.Read.All | SecurityEvents.ReadWrite.All |
Solicitação HTTP
GET /security/alerts
GET /security/alerts?$top=1
GET /security/alerts?$filter={property} eq '{property-value}'
GET /security/alerts?$filter={property} eq '{property-value}'&$top=5
GET /security/alerts?$filter={property} eq '{property-value}' and {property} eq '{property-value}'
Parâmetros de consulta opcionais
Este método suporta os seguintes parâmetros de consulta OData para ajudar a personalizar a resposta:
$count
$orderby
$select
$skip
-
$top
- Retorna os principais resultados agregados de cada provedor de API de segurança. $filter
A tabela a seguir lista as palavras-chave $filter
para cada nome de fornecedor. Embora alguns desses produtos tenham sido renomeados, a API ainda deve ser atualizada. As palavras-chave de filtro continuarão a usar os nomes herdados até mais aviso. Consulte o changelog para atualizações.
Anotações do fornecedor | palavra-chave $filter |
---|---|
Microsoft Defender para Identidade? | Proteção Avançada contra Ameaças do Azure |
Central de Segurança do Azure | ASC |
Microsoft Defender for Cloud Apps | MCAS |
Microsoft Entra ID Protection | IPC |
Microsoft Sentinel | Azure Sentinel |
Microsoft Defender para Ponto de Extremidade | Microsoft Defender ATP |
Office 365 | Não há suporte atualmente. |
Nota: Alguns provedores podem não dar suporte a
$filter
palavras-chave.
Para retornar um conjunto de propriedades alternativas, use o parâmetro de consulta OData $select
para especificar o conjunto de propriedades de alerta que você deseja Por exemplo, para retornar as propriedades assignedTo, category e severity , adicione o seguinte à sua consulta: $select=assignedTo,category,severity
.
Observação: o parâmetro de consulta OData
$top
tem um limite de 1000 alertas. É recomendável incluir apenas o$top
e não o$skip
na primeira consulta OBTER. Você pode usar@odata.nextLink
para paginação. Se você precisar usar o$skip
, ele tem um limite de 500 alertas. Por exemplo,/security/alerts?$top=10&$skip=500
retornará um código de resposta200 OK
, mas/security/alerts?$top=10&$skip=501
retornará um código de resposta400 Bad Request
. Para obter mais informações, consulte as respostas de erro da API de segurança do Microsoft Graph.
Cabeçalhos de solicitação
Nome | Descrição |
---|---|
Autorização | Portador {código}. Obrigatório. |
Corpo da solicitação
Não forneça um corpo de solicitação para esse método. O corpo da solicitação será ignorado.
Resposta
Se bem sucedido, este método retorna um código de resposta 200 OK
e uma coleção de objetos de alerta no corpo da resposta. Se um código de status diferente de 2xx ou 404 for retornado de um provedor ou se um provedor expirar, a resposta será um código de status 206 Partial Content
com a resposta do provedor em um cabeçalho de aviso. Para obter mais informações, consulte as respostas de erro da API de segurança do Microsoft Graph.
Exemplo
Solicitação
O exemplo a seguir mostra uma solicitação.
GET https://graph.microsoft.com/v1.0/security/alerts
Resposta
O exemplo a seguir mostra a resposta.
Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.
HTTP/1.1 200 OK
Content-type: application/json
{
"value": [
{
"activityGroupName": "activityGroupName-value",
"assignedTo": "assignedTo-value",
"azureSubscriptionId": "azureSubscriptionId-value",
"azureTenantId": "azureTenantId-value",
"category": "category-value",
"closedDateTime": "datetime-value"
}
]
}