共用方式為


警示資源類型

適用於:

注意事項

如需所有Microsoft防禦者產品的完整可用警示 API 體驗,請造訪:使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn。

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

注意事項

如果您是美國政府客戶,請使用 適用於美國政府客戶的 Microsoft Defender 中所列的 URI。

提示

為了獲得更好的效能,您可以使用更接近您地理位置的伺服器:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

方法

方法 傳回類型 描述
取得警示 警示 取得單一 警示 物件
列出警示 警示 集合 列出 警示 集合
更新警示 警示 更新特定 警示
批次更新警示 更新一批 警示
建立警示 警示 根據從進階搜捕取得的事件數據建立警示
列出相關網域 網域集合 列出與警示相關聯的 URL
列出相關檔案 檔案 集合 列出與警示相關聯的檔案實體
列出相關的IP IP 集合 列出與警示相關聯的IP
取得相關計算機 機器 警示相關聯的計算機
取得相關使用者 使用者 警示相關聯的使用者

屬性

屬性 類型 描述
識別碼 字串 警示標識碼。
title 字串 警示標題。
描述 字串 警示描述。
alertCreationTime 可為 Null 的 DateTimeOffset 建立警示) UTC 中的日期和時間 (。
lastEventTime 可為 Null 的 DateTimeOffset 在相同裝置上觸發警示的最後一個事件。
firstEventTime 可為 Null 的 DateTimeOffset 在該裝置上觸發警示的第一個事件。
lastUpdateTime 可為 Null 的 DateTimeOffset 上次更新警示) UTC 中的日期和時間 (。
resolvedTime 可為 Null 的 DateTimeOffset 警示狀態變更為已 解決的日期和時間。
incidentId 可為 Null 的 Long 警示 的事件 標識碼。
investigationId 可為 Null 的 Long 與警示相關的 調查 標識碼。
investigationState 可為 Null 的列舉 調查的目前狀態。 可能的值為:UnknownTerminatedSuccessfullyRemediatedBenignFailedPartiallyRemediatedRunningPendingApprovalPendingResourcePartiallyInvestigatedTerminatedByUserTerminatedBySystemQueuedInnerFailurePreexistingAlertUnsupportedOsUnsupportedAlertType、SuppressedAlert
assignedTo 字串 警示的擁有者。
rbacGroupName 字串 角色型訪問控制裝置組名。
mitreTechniques 字串 Mitre Enterprise 技術識別符。
relatedUser 字串 與特定警示相關的使用者詳細數據。
嚴厲 Enum 警示的嚴重性。 可能的值為: UnSpecifiedInformationalLowMediumHigh
狀態 Enum 指定警示的目前狀態。 可能的值為: UnknownNewInProgressResolved
分類 可為 Null 的列舉 警示的規格。 可能的值為: TruePositiveInformational, expected activityFalsePositive
測定 可為 Null 的列舉 指定警示的判斷。

每個分類的可能判斷值如下:

  • 確判Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 請考慮據以變更公用 API 中的列舉名稱、 Malware (惡意代碼) 、 Phishing (網路釣魚) 、 Unwanted software (UnwantedSoftware) ,以及 Other (其他) 。
  • 信息、預期的活動:Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedUserActivity) - 請考慮據以變更公用 API 中的列舉名稱, (Other 其他) 。
  • 誤判:Not malicious (Clean) - 請考慮據以變更公用 API 中的列舉名稱、 Not enough data to validate (InsufficientData) ,以及 Other (其他) 。
  • 類別 字串 警示的類別。
    detectionSource 字串 偵測來源。
    threatFamilyName 字串 威脅系列。
    threatName 字串 威脅名稱。
    machineId 字串 與警示相關聯之 計算機 實體的標識碼。
    computerDnsName 字串 計算機 完整名稱。
    aadTenantId 字串 Microsoft編碼標識碼。
    detectorId 字串 觸發警示之偵測器的標識碼。
    註解 警示批注清單 警示批注物件包含:批注字串、createdBy 字串和 createTime 日期時間。
    證據 警示辨識項清單 與警示相關的辨識項。 請參閱下列的範例。

    注意事項

    在 2022 年 8 月 29 日左右,先前支援的警示判斷值 (AptSecurityPersonnel) 將會被取代,且不再可透過 API 使用。

    取得單一警示的回應範例:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn

    提示

    想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。