Microsoft Defender ATP
Microsoft Defender ATP ist eine einheitliche Plattform für präventiven Schutz, Erkennung nach Sicherheitsverletzungen, automatisierte Untersuchung und Reaktion. Weitere Informationen dazu finden Sie hier: http://aka.ms/wdatp
Dieser Connector ist in den folgenden Produkten und Regionen verfügbar:
| Dienstleistung | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Alle Power Automate-Regionen mit Ausnahme der folgenden Bereiche: - China Cloud betrieben von 21Vianet |
| Logik-Apps | Norm | Alle Logik-Apps-Regionen mit Ausnahme der folgenden Bereiche: - Azure China-Regionen |
| Power Apps | Premium | Alle Power Apps-Regionen mit Ausnahme der folgenden: - China Cloud betrieben von 21Vianet |
| Power Automate | Premium | Alle Power Automate-Regionen mit Ausnahme der folgenden Bereiche: - China Cloud betrieben von 21Vianet |
| Kontakt | |
|---|---|
| Name | Microsoft |
| URL |
Microsoft LogicApps-Unterstützung Microsoft Power Automate-Support Microsoft Power Apps-Unterstützung |
| Connectormetadaten | |
|---|---|
| Herausgeber | Microsoft |
| Webseite | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
Eine Verbindung wird erstellt
Der Connector unterstützt die folgenden Authentifizierungstypen:
| Vorgabe | Parameter zum Erstellen einer Verbindung. | Alle Regionen | Nicht teilbar |
Vorgabe
Anwendbar: Alle Regionen
Parameter zum Erstellen einer Verbindung.
Dies ist keine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird ein anderer Benutzer aufgefordert, eine neue Verbindung explizit zu erstellen.
Drosselungsgrenzwerte
| Name | Aufrufe | Verlängerungszeitraum |
|---|---|---|
| API-Aufrufe pro Verbindung | 100 | 60 Sekunden |
Aktionen
| Aktionen – Abbrechen einer einzelnen Computeraktion |
Abbrechen einer bestimmten Computeraktion |
| Aktionen – Abrufen des Ergebnis-Download-URI des Live-Antwortbefehls |
Abrufen des Ergebnisdownload-URI für einen abgeschlossenen Live-Antwortbefehl |
| Aktionen – Abrufen einer Einzelnen Computeraktion |
Abrufen von Windows Defender ATP einer bestimmten Computeraktion |
| Aktionen – Abrufen einer einzelnen Untersuchung |
Abrufen von Microsoft Defender ATP einer bestimmten Untersuchung |
| Aktionen – Antivirusscan ausführen |
Initiieren des Windows Defender Antivirus-Scans auf einem Computer |
| Aktionen – Automatische Untersuchung auf einem Computer starten (Vorschau) |
Starten der automatisierten Untersuchung auf einem Computer |
| Aktionen – Download-URI des Untersuchungspakets abrufen |
Abrufen eines URI zum Herunterladen eines Untersuchungspakets |
| Aktionen – Einschränken der App-Ausführung |
Einschränken der Ausführung aller Anwendungen auf dem Computer mit Ausnahme eines vordefinierten Satzes |
| Aktionen – Einschränkung der App-Ausführung entfernen |
Aktivieren der Ausführung einer beliebigen Anwendung auf dem Computer |
| Aktionen – Initiieren der Untersuchung auf einem Computer (veraltet) |
Untersuchung auf einem Computer initiieren |
| Aktionen – Isolieren des Computers |
Isolieren eines Computers aus dem Netzwerk |
| Aktionen – Liste der Computeraktionen abrufen |
Abrufen von Windows Defender ATP der neuesten Computeraktionen |
| Aktionen – Liste der Untersuchung abrufen |
Abrufen von Microsoft Defender ATP der neuesten Untersuchungen |
| Aktionen – Liveantwort ausführen |
Ausführen von Liveantwort-API-Befehlen für einen einzelnen Computer |
| Aktionen – Nicht isolierter Computer |
Trennen eines Computers vom Netzwerk |
| Aktionen – Untersuchungspaket sammeln |
Erfassen des Untersuchungspakets von einem Computer |
| Computer – Abrufen einer Liste von Computern |
Abrufen von Windows Defender ATP auf den neuesten Computern |
| Computer – Abrufen eines einzelnen Computers |
Abrufen von Windows Defender ATP auf einem bestimmten Computer |
| Computer – Tag-Computer |
Hinzufügen oder Entfernen eines Tags zu/von einem Computer |
| Dateien – Abrufen der Statistiken für die angegebene Datei |
Abrufen von Windows Defender ATP-Statistiken für die angegebene Datei zu einer bestimmten Datei anhand des Bezeichners Sha1 oder Sha256 |
| Domänen – Abrufen der Statistiken für den angegebenen Domänennamen |
Abrufen von Windows Defender ATP-Statistiken im Zusammenhang mit einem bestimmten Domänennamen |
| Erweiterte Suche |
Ausführen einer benutzerdefinierten Abfrage in Windows Defender ATP |
| Ips – Abrufen der Statistiken für die angegebene IP-Adresse |
Abrufen von Windows Defender ATP-Statistiken im Zusammenhang mit einer bestimmten IP-Adresse – angegeben im ipv4- oder ipv6-Format. |
|
Remediation |
Abrufen von Windows Defender ATP einer bestimmten Wartungsaktivität |
| Warnungen – Abrufen einer einzelnen Warnung |
Abrufen von Windows Defender ATP einer bestimmten Warnung |
| Warnungen – Liste der Warnungen abrufen |
Abrufen von Windows Defender ATP mit den neuesten Warnungen |
| Warnungen – Warnung aktualisieren |
Aktualisieren einer Windows Defender ATP-Warnung |
| Warnungen – Warnung erstellen |
Warnung basierend auf einem bestimmten Ereignis erstellen |
| Wartungsaktivitäten – Abrufen einer Liste verwandter Computer (Vorschau) |
Abrufen von Windows Defender ATP auf den zugehörigen Computern zu einer bestimmten Wartungsaktivität |
| Wartungsaufgaben – Liste der Wartungsaktivitäten abrufen (Vorschau) |
Abrufen von Windows Defender ATP der Remdiation-Aktivitäten |
Aktionen – Abbrechen einer einzelnen Computeraktion
Abbrechen einer bestimmten Computeraktion
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
ID der Computeraktion
|
Machine Action ID | True | string |
Der Bezeichner der computeraktion, die abgebrochen werden soll |
|
Kommentar
|
Comment | True | string |
Ein Kommentar, der dem Abbruch der Computeraktion zugeordnet werden soll |
Gibt zurück
Eine Einzelne Computeraktionsentität
- Computeraktion
- MachineAction
Aktionen – Abrufen des Ergebnis-Download-URI des Live-Antwortbefehls
Abrufen des Ergebnisdownload-URI für einen abgeschlossenen Live-Antwortbefehl
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
ID der Computeraktion
|
Machine Action ID | True | string |
Der Bezeichner der Computeraktion |
|
Index des Befehls "Liveantwort"
|
Command Index | True | integer |
Der Index des Live-Antwortbefehls zum Abrufen des Ergebnisdownload-URI für |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
URI herunterladen
|
value | string |
Download-URI des Befehls "Live Response" |
Aktionen – Abrufen einer Einzelnen Computeraktion
Abrufen von Windows Defender ATP einer bestimmten Computeraktion
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
ID der Computeraktion
|
Machine Action ID | True | string |
Der Bezeichner der abzurufenden Computeraktion |
Gibt zurück
Eine Einzelne Computeraktionsentität
- Computeraktion
- MachineAction
Aktionen – Abrufen einer einzelnen Untersuchung
Abrufen von Microsoft Defender ATP einer bestimmten Untersuchung
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
ID der Untersuchung
|
Investigation ID | True | string |
Der Bezeichner der abzurufenden Untersuchung |
Gibt zurück
Eine einzelne Untersuchungsentität
- Untersuchung
- Investigation
Aktionen – Antivirusscan ausführen
Initiieren des Windows Defender Antivirus-Scans auf einem Computer
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Computer-ID
|
Machine ID | True | string |
Die ID des zu scannenden Computers |
|
Kommentar
|
Comment | True | string |
Ein Kommentar, der der Scananforderung zugeordnet werden soll |
|
Scantyp
|
ScanType | True | string |
Typ des auszuführenden Scans. Zulässige Werte sind "Schnell" oder "Vollständig" |
Gibt zurück
Eine Einzelne Computeraktionsentität
- Computeraktion
- MachineAction
Aktionen – Automatische Untersuchung auf einem Computer starten (Vorschau)
Starten der automatisierten Untersuchung auf einem Computer
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Computer-ID
|
Machine ID | True | string |
Die ID des zu untersuchenden Computers |
|
Kommentar
|
Comment | True | string |
Ein Kommentar, der der Untersuchung zugeordnet werden soll |
Gibt zurück
Eine einzelne Untersuchungsentität
- Untersuchung
- Investigation
Aktionen – Download-URI des Untersuchungspakets abrufen
Abrufen eines URI zum Herunterladen eines Untersuchungspakets
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Aktions-ID
|
Machine action ID | True | string |
Die ID der Untersuchungspaketsammlung |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
SAS-Paket-URI
|
value | string |
Der SAS-URI des Untersuchungspakets |
Aktionen – Einschränken der App-Ausführung
Einschränken der Ausführung aller Anwendungen auf dem Computer mit Ausnahme eines vordefinierten Satzes
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Computer-ID
|
Machine ID | True | string |
Die ID des Computers, der eingeschränkt werden soll |
|
Kommentar
|
Comment | True | string |
Ein Kommentar, der der Einschränkung zugeordnet werden soll |
Gibt zurück
Eine Einzelne Computeraktionsentität
- Computeraktion
- MachineAction
Aktionen – Einschränkung der App-Ausführung entfernen
Aktivieren der Ausführung einer beliebigen Anwendung auf dem Computer
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Computer-ID
|
Machine ID | True | string |
Die ID des Computers, der nicht eingeschränkt werden soll |
|
Kommentar
|
Comment | True | string |
Ein Kommentar, der der Einschränkungsentfernung zugeordnet werden soll |
Gibt zurück
Eine Einzelne Computeraktionsentität
- Computeraktion
- MachineAction
Aktionen – Initiieren der Untersuchung auf einem Computer (veraltet)
Untersuchung auf einem Computer initiieren
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Computer-ID
|
Machine ID | True | string |
Die ID des zu untersuchenden Computers |
|
Kommentar
|
Comment | True | string |
Ein Kommentar, der der Untersuchung zugeordnet werden soll |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Untersuchungs-ID
|
value | string |
Die ID der Untersuchung |
Aktionen – Isolieren des Computers
Isolieren eines Computers aus dem Netzwerk
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Computer-ID
|
Machine ID | True | string |
Die ID des computers, der isoliert werden soll |
|
Kommentar
|
Comment | True | string |
Ein Kommentar, der der Isolation zugeordnet werden soll |
|
Isolationstyp
|
IsolationType | True | string |
Typ der Isolation. Zulässige Werte sind "Vollständig" (für vollständige Isolation) oder "Selektiv" (um nur einen begrenzten Satz von Anwendungen für den Zugriff auf das Netzwerk einzuschränken) |
Gibt zurück
Eine Einzelne Computeraktionsentität
- Computeraktion
- MachineAction
Aktionen – Liste der Computeraktionen abrufen
Abrufen von Windows Defender ATP der neuesten Computeraktionen
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Filtert Ergebnisse
|
$filter | string |
Filtert die Ergebnisse mithilfe der OData-Syntax. |
|
|
Wählt Eigenschaften aus.
|
$select | string |
Wählt aus, welche Eigenschaften in die Antwort aufgenommen werden sollen, standardmäßig auf alle. |
|
|
Sortiert Ergebnisse
|
$orderby | string |
Sortiert die Ergebnisse. |
|
|
Gibt erste Ergebnisse zurück.
|
$top | integer |
Gibt nur die ersten n Ergebnisse zurück. |
|
|
Überspringt die ersten Ergebnisse.
|
$skip | integer |
Überspringt die ersten n Ergebnisse. |
|
|
Umfasst Anzahl
|
$count | boolean |
Enthält eine Anzahl der übereinstimmenden Ergebnisse in der Antwort. |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Anzahl der Computeraktionen
|
@odata.count | integer |
Die Anzahl der verfügbaren Computeraktionen durch diese Abfrage |
|
Computeraktionen
|
value | array of MachineAction |
Die zurückgegebenen Computeraktionen |
|
Nächster Link
|
@odata.nextLink | string |
Ein Link zum Abrufen der nächsten Ergebnisse, falls mehr Ergebnisse vorhanden sind als angefordert |
Aktionen – Liste der Untersuchung abrufen
Abrufen von Microsoft Defender ATP der neuesten Untersuchungen
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Filtert Ergebnisse
|
$filter | string |
Filtert die Ergebnisse mithilfe der OData-Syntax. |
|
|
Wählt Eigenschaften aus.
|
$select | string |
Wählt aus, welche Eigenschaften in die Antwort aufgenommen werden sollen, standardmäßig auf alle. |
|
|
Sortiert Ergebnisse
|
$orderby | string |
Sortiert die Ergebnisse. |
|
|
Gibt erste Ergebnisse zurück.
|
$top | integer |
Gibt nur die ersten n Ergebnisse zurück. |
|
|
Überspringt die ersten Ergebnisse.
|
$skip | integer |
Überspringt die ersten n Ergebnisse. |
|
|
Umfasst Anzahl
|
$count | boolean |
Enthält eine Anzahl der übereinstimmenden Ergebnisse in der Antwort. |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Anzahl der Untersuchungen
|
@odata.count | integer |
Die Anzahl der verfügbaren Untersuchungen durch diese Abfrage |
|
Untersuchungen
|
value | array of Investigation |
Die zurückgegebenen Untersuchungen |
|
Nächster Link
|
@odata.nextLink | string |
Ein Link zum Abrufen der nächsten Ergebnisse, falls mehr Ergebnisse vorhanden sind als angefordert |
Aktionen – Liveantwort ausführen
Ausführen von Liveantwort-API-Befehlen für einen einzelnen Computer
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Computer-ID
|
Machine ID | True | string |
Die ID des Computers, auf dem die Liveantwortsitzung ausgeführt werden soll |
|
Kommentar
|
Comment | True | string |
Ein Kommentar, der der Isolation zugeordnet werden soll |
|
Befehlstyp
|
type | True | string |
Der Typ des Befehls |
|
Befehlsparametertaste
|
key | string |
Der Schlüssel des Befehlsparameters |
|
|
Befehlsparameterwert
|
value | string |
Der Wert des Befehlsparameters |
Gibt zurück
Eine Einzelne Computeraktionsentität
- Computeraktion
- MachineAction
Aktionen – Nicht isolierter Computer
Trennen eines Computers vom Netzwerk
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Computer-ID
|
Machine ID | True | string |
Die ID des Computers, der nicht isoliert werden soll |
|
Kommentar
|
Comment | True | string |
Ein Kommentar, der der Nichtisolation zugeordnet werden soll |
Gibt zurück
Eine Einzelne Computeraktionsentität
- Computeraktion
- MachineAction
Aktionen – Untersuchungspaket sammeln
Erfassen des Untersuchungspakets von einem Computer
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Computer-ID
|
Machine ID | True | string |
Die ID des Computers, von dem die Untersuchung erfasst werden soll |
|
Kommentar
|
Comment | True | string |
Ein Kommentar, der der Sammlung zugeordnet werden soll |
Gibt zurück
Eine Einzelne Computeraktionsentität
- Computeraktion
- MachineAction
Computer – Abrufen einer Liste von Computern
Abrufen von Windows Defender ATP auf den neuesten Computern
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Filtert Ergebnisse
|
$filter | string |
Filtert die Ergebnisse mithilfe der OData-Syntax. |
|
|
Wählt Eigenschaften aus.
|
$select | string |
Wählt aus, welche Eigenschaften in die Antwort aufgenommen werden sollen, standardmäßig auf alle. |
|
|
Sortiert Ergebnisse
|
$orderby | string |
Sortiert die Ergebnisse. |
|
|
Gibt erste Ergebnisse zurück.
|
$top | integer |
Gibt nur die ersten n Ergebnisse zurück. |
|
|
Überspringt die ersten Ergebnisse.
|
$skip | integer |
Überspringt die ersten n Ergebnisse. |
|
|
Umfasst Anzahl
|
$count | boolean |
Enthält eine Anzahl der übereinstimmenden Ergebnisse in der Antwort. |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Computeranzahl
|
@odata.count | integer |
Die Anzahl der verfügbaren Computer durch diese Abfrage |
|
Machines
|
value | array of Machine |
Die zurückgegebenen Computer |
|
Nächster Link
|
@odata.nextLink | string |
Ein Link zum Abrufen der nächsten Ergebnisse, falls mehr Ergebnisse vorhanden sind als angefordert |
Computer – Abrufen eines einzelnen Computers
Abrufen von Windows Defender ATP auf einem bestimmten Computer
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
ID des Computers
|
Machine ID | True | string |
Der Bezeichner des abzurufenden Computers |
Gibt zurück
Eine einzelne Computerentität
- Maschine
- Machine
Computer – Tag-Computer
Hinzufügen oder Entfernen eines Tags zu/von einem Computer
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
ID des Computers
|
Machine ID | True | string |
Die ID des Computers, dem das Tag hinzugefügt oder entfernt werden soll |
|
Wert
|
Value | True | string |
Das Tag, das hinzugefügt oder entfernt werden soll |
|
Maßnahme
|
Action | True | string |
Die auszuführende Aktion. Der Wert sollte eine von "Hinzufügen" (zum Hinzufügen eines Tags) oder "Entfernen" (zum Entfernen eines Tags) sein. |
Gibt zurück
Eine einzelne Computerentität
- Maschine
- Machine
Dateien – Abrufen der Statistiken für die angegebene Datei
Abrufen von Windows Defender ATP-Statistiken für die angegebene Datei zu einer bestimmten Datei anhand des Bezeichners Sha1 oder Sha256
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Dateibezeichner – Sha1 oder Sha256
|
File ID | True | string |
Dateibezeichner – Sha1 oder Sha256 |
|
Der Nachschlagezeitraum in Stunden, nach dem gesucht werden soll, ist die Standardeinstellung 24 Stunden.
|
lookBackHours | integer |
Der Nachschlagezeitraum in Stunden, nach dem gesucht werden soll, ist die Standardeinstellung 24 Stunden. |
Gibt zurück
Eine einzelne Dateistatistikentität
- Dateistatistik
- FileStats
Domänen – Abrufen der Statistiken für den angegebenen Domänennamen
Abrufen von Windows Defender ATP-Statistiken im Zusammenhang mit einem bestimmten Domänennamen
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Der Domänenname
|
Domain Name | True | string |
Der Domänenname |
|
Der Nachschlagezeitraum in Stunden, nach dem gesucht werden soll, ist die Standardeinstellung 24 Stunden.
|
lookBackHours | integer |
Der Nachschlagezeitraum in Stunden, nach dem gesucht werden soll, ist die Standardeinstellung 24 Stunden. |
Gibt zurück
Eine einzelne IP-Adressstatistikentität
- Domänenstatistik
- DomainStats
Erweiterte Suche
Ausführen einer benutzerdefinierten Abfrage in Windows Defender ATP
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Query
|
Query | True | string |
Die auszuführende Abfrage |
Gibt zurück
Ips – Abrufen der Statistiken für die angegebene IP-Adresse
Abrufen von Windows Defender ATP-Statistiken im Zusammenhang mit einer bestimmten IP-Adresse – angegeben im ipv4- oder ipv6-Format.
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Die IP-Adresse
|
Ip Address | True | string |
Die IP-Adresse |
|
Der Nachschlagezeitraum in Stunden, nach dem gesucht werden soll, ist die Standardeinstellung 24 Stunden.
|
lookBackHours | integer |
Der Nachschlagezeitraum in Stunden, nach dem gesucht werden soll, ist die Standardeinstellung 24 Stunden. |
Gibt zurück
Eine einzelne IP-Adressstatistikentität
- IP-Statistik
- IpStats
RemediationActivities – Abrufen einzelner Wartungsaktivitäten (Vorschau)
Abrufen von Windows Defender ATP einer bestimmten Wartungsaktivität
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
ID der Wartungsaktivität
|
RemediationID | True | string |
Der Bezeichner der abzurufenden Wartungsaktivität |
Gibt zurück
Eine einzelne Wartungsaktivitätsentität
- Wartungsaktivität
- RemediationActivity
Warnungen – Abrufen einer einzelnen Warnung
Abrufen von Windows Defender ATP einer bestimmten Warnung
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
ID der Warnung
|
Alert ID | True | string |
Der Bezeichner der abzurufenden Warnung |
Gibt zurück
Eine einzelne Warnungsentität
- Alert
- Alert
Warnungen – Liste der Warnungen abrufen
Abrufen von Windows Defender ATP mit den neuesten Warnungen
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Erweitert Entitäten
|
$expand | string |
Erweitert verknüpfte Entitäten inline. |
|
|
Filtert Ergebnisse
|
$filter | string |
Filtert die Ergebnisse mithilfe der OData-Syntax. |
|
|
Wählt Eigenschaften aus.
|
$select | string |
Wählt aus, welche Eigenschaften in die Antwort aufgenommen werden sollen, standardmäßig auf alle. |
|
|
Sortiert Ergebnisse
|
$orderby | string |
Sortiert die Ergebnisse. |
|
|
Gibt erste Ergebnisse zurück.
|
$top | integer |
Gibt nur die ersten n Ergebnisse zurück. |
|
|
Überspringt die ersten Ergebnisse.
|
$skip | integer |
Überspringt die ersten n Ergebnisse. |
|
|
Umfasst Anzahl
|
$count | boolean |
Enthält eine Anzahl der übereinstimmenden Ergebnisse in der Antwort. |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Anzahl der Warnungen
|
@odata.count | integer |
Die Anzahl der verfügbaren Warnungen durch diese Abfrage |
|
Alarmsignale
|
value | array of Alert |
Die zurückgegebenen Warnungen |
|
Nächster Link
|
@odata.nextLink | string |
Ein Link zum Abrufen der nächsten Ergebnisse, falls mehr Ergebnisse vorhanden sind als angefordert |
Warnungen – Warnung aktualisieren
Aktualisieren einer Windows Defender ATP-Warnung
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
ID der Warnung
|
Alert ID | True | string |
Der Bezeichner der zu aktualisierenden Warnung |
|
Der Status
|
status | string |
Der Status der Warnung. Einer von "New", "InProgress" und "Resolved" |
|
|
Zugewiesen an
|
assignedTo | string |
Person, der die Warnung zugewiesen werden soll |
|
|
Klassifizierung
|
classification | string |
Klassifizierung der Alarmierung. Einer von 'Unknown', 'FalsePositive', 'TruePositive' |
|
|
Entschlossenheit
|
determination | string |
Die Bestimmung der Warnung. Einer von 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other' |
Gibt zurück
Eine einzelne Warnungsentität
- Alert
- Alert
Warnungen – Warnung erstellen
Warnung basierend auf einem bestimmten Ereignis erstellen
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Computer-ID
|
machineId | True | string |
ID des Computers, auf dem das Ereignis identifiziert wurde |
|
Berichts-ID
|
reportId | True | integer |
Berichts-ID des Ereignisses |
|
Ereigniszeit
|
eventTime | True | string |
Uhrzeit des Ereignisses als Zeichenfolge, z. B. 2018-08-03T16:45:21.7115183Z |
|
Schweregrad
|
severity | True | string |
Der Schweregrad der Warnung. |
|
Kategorie
|
category | True | string |
Kategorie der Warnung |
|
Title
|
title | True | string |
Titel der Warnung |
|
Description
|
description | True | string |
Beschreibung der Warnung |
|
Empfohlene Aktion
|
recommendedAction | True | string |
Empfohlene Aktion für die Warnung |
Gibt zurück
Eine einzelne Warnungsentität
- Alert
- Alert
Wartungsaktivitäten – Abrufen einer Liste verwandter Computer (Vorschau)
Abrufen von Windows Defender ATP auf den zugehörigen Computern zu einer bestimmten Wartungsaktivität
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
ID der Wartungsaktivität
|
RemediationID | True | string |
Der Bezeichner der abzurufenden Wartungsaktivität |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Computeranzahl
|
@odata.count | integer |
Die Anzahl der verfügbaren Computer durch diese Abfrage |
|
Machines
|
value | array of Machine |
Die zurückgegebenen Computer |
|
Nächster Link
|
@odata.nextLink | string |
Ein Link zum Abrufen der nächsten Ergebnisse, falls mehr Ergebnisse vorhanden sind als angefordert |
Wartungsaufgaben – Liste der Wartungsaktivitäten abrufen (Vorschau)
Abrufen von Windows Defender ATP der Remdiation-Aktivitäten
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Filtert Ergebnisse
|
$filter | string |
Filtert die Ergebnisse mithilfe der OData-Syntax. |
|
|
Wählt Eigenschaften aus.
|
$select | string |
Wählt aus, welche Eigenschaften in die Antwort aufgenommen werden sollen, standardmäßig auf alle. |
|
|
Sortiert Ergebnisse
|
$orderby | string |
Sortiert die Ergebnisse. |
|
|
Gibt erste Ergebnisse zurück.
|
$top | integer |
Gibt nur die ersten n Ergebnisse zurück. |
|
|
Überspringt die ersten Ergebnisse.
|
$skip | integer |
Überspringt die ersten n Ergebnisse. |
|
|
Umfasst Anzahl
|
$count | boolean |
Enthält eine Anzahl der übereinstimmenden Ergebnisse in der Antwort. |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Anzahl der Wartungsaktivitäten
|
@odata.count | integer |
Die Anzahl der Korrekturaktivitäten durch diese Abfrage |
|
Wartungsaktivitäten
|
value | array of RemediationActivity |
Die zurückgegebenen Wartungsaktivitäten |
|
Nächster Link
|
@odata.nextLink | string |
Ein Link zum Abrufen der nächsten Ergebnisse, falls mehr Ergebnisse vorhanden sind als angefordert |
Trigger
| Trigger – Auslösen, wenn eine neue WDATP-Warnung auftritt |
Abonnieren von Windows Defender ATP-Warnungen |
| Wird ausgelöst, wenn eine neue Wartungsaktivität erstellt wird (Vorschau) |
Löst aus, wenn eine neue Wartungsaktivität erstellt wird |
Trigger – Auslösen, wenn eine neue WDATP-Warnung auftritt
Wird ausgelöst, wenn eine neue Wartungsaktivität erstellt wird (Vorschau)
Löst aus, wenn eine neue Wartungsaktivität erstellt wird
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Anzahl der Wartungsaktivitäten
|
@odata.count | integer |
Die Anzahl der Korrekturaktivitäten durch diese Abfrage |
|
Wartungsaktivitäten
|
value | array of RemediationActivity |
Die zurückgegebenen Wartungsaktivitäten |
|
Nächster Link
|
@odata.nextLink | string |
Ein Link zum Abrufen der nächsten Ergebnisse, falls mehr Ergebnisse vorhanden sind als angefordert |
Definitionen
Alert
Eine einzelne Warnungsentität
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Warnungs-ID
|
id | string |
Warnungs-ID |
|
Vorfall-ID
|
incidentId | integer |
Die ID des Vorfalls |
|
Untersuchungs-ID
|
investigationId | integer |
Die ID der Untersuchung |
|
Schweregrad der Warnung
|
severity | string |
Schweregrad der Warnung |
|
Der Status
|
status | string |
Status der Warnung |
|
Description
|
description | string |
Warnungsbeschreibung |
|
Zeitpunkt der Benachrichtigungserstellung
|
alertCreationTime | date-time |
Der Zeitpunkt, zu dem die Warnung erstellt wurde |
|
Kategorie
|
category | string |
Warnungskategorie |
|
Title
|
title | string |
Benachrichtigungstitel |
|
Name der Bedrohungsfamilie
|
threatFamilyName | string |
Name der Bedrohungsfamilie |
|
Erkennungsquelle
|
detectionSource | string |
Erkennungsquelle |
|
Klassifizierung
|
classification | string |
Warnungsklassifizierung |
|
Entschlossenheit
|
determination | string |
Warnungsermittlung |
|
Zugewiesen an
|
assignedTo | string |
Person, der die Benachrichtigung zugewiesen wurde |
|
Gelöste Zeit
|
resolvedTime | string |
Der Zeitpunkt, zu dem die Warnung aufgelöst wurde |
|
Zeitpunkt des letzten Ereignisses
|
lastEventTime | date-time |
Der Zeitpunkt des letzten Ereignisses im Zusammenhang mit der Warnung |
|
Erstmaliges Ereignis
|
firstEventTime | date-time |
Zeitpunkt des ersten Ereignisses im Zusammenhang mit der Warnung |
|
Computer-ID
|
machineId | string |
Der Bezeichner des Computers im Zusammenhang mit der Warnung |
Maschine
Eine einzelne Computerentität
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Computer-ID
|
id | string |
Der Computerbezeichner |
|
Name des Computers
|
computerDnsName | string |
Der Computername |
|
Erstes Gesehenes
|
firstSeen | date-time |
Die Uhrzeit des ersten Ereignisses, das vom Computer empfangen wird |
|
Zuletzt gesehen
|
lastSeen | date-time |
Die Uhrzeit des letzten Ereignisses, das vom Computer empfangen wurde |
|
Betriebssystemplattform
|
osPlatform | string |
Die Betriebssystemplattform des Computers |
|
Betriebssystemversion
|
osVersion | string |
Die Betriebssystemversion des Computers |
|
Systemproduktname
|
systemProductName | date-time |
systemProductName |
|
Letzte IP-Adresse
|
lastIpAddress | string |
Die letzte IP-Adresse des Computers |
|
Letzte externe IP-Adresse
|
lastExternalIpAddress | string |
Die letzte externe IP-Adresse des Computers |
|
Agentversion
|
agentVersion | string |
Die Agentversion |
|
Betriebssystembuild
|
osBuild | integer |
Der Betriebssystembuild des Computers |
|
Integritäts-status
|
healthStatus | string |
Der Integritätsstatus des Computers |
|
Ist Microsoft Entra ID beigetreten
|
isAadJoined | boolean |
Ein Kennzeichen, das angibt, ob der Computer mit der Microsoft Entra-ID verknüpft ist |
|
Computertags
|
machineTags | array of string |
Die dem Computer zugeordneten Tags |
|
RBAC-Gruppen-ID
|
rbacGroupId | integer |
Die ID der RBAC-Gruppe, zu der der Computer gehört |
|
RBAC-Gruppenname
|
rbacGroupName | string |
Der Name der RBAC-Gruppe, zu der der Computer gehört |
|
Risikobewertung
|
riskScore | string |
Eine Bewertung, die angibt, wie viel der Computer gefährdet ist |
|
Microsoft Entra ID-Geräte-ID
|
aadDeviceId | string |
aadDeviceId |
RemediationActivity
Eine einzelne Wartungsaktivitätsentität
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Wartungsaktivitäts-ID
|
id | string |
Der Bezeichner der Korrekturaktivität |
|
Titel der Wartungsaktivität
|
title | string |
Der Titel der Korrekturaktivierung |
|
Erstellt am
|
createdOn | date-time |
Der Zeitpunkt, zu dem die Wartungsaktivität erstellt wurde |
|
Status zuletzt geändert am
|
statusLastModifiedOn | date-time |
Der Zeitpunkt, zu dem der Status zuletzt geändert wurde |
|
Creator-ID
|
requesterId | string |
Die Ersteller-ID der Wartungsaktivität |
|
Creator-E-Mail
|
requesterEmail | string |
Die E-Mail-Adresse der Wartungsaktivität |
|
Der Status
|
status | string |
der Status der Wartungsaktivität |
|
Description
|
description | string |
Die Beschreibung der Wartungsaktivität |
|
Verwandte Komponente
|
relatedComponent | string |
Die zugehörige Komponente für die Korrekturaktivität |
|
Zielgeräte
|
targetDevices | integer |
Die Anzahl der Zielcomputer für die Korrekturaktivität |
|
Rbac-Gruppennamen
|
rbacGroupNames | array of string |
Die Namen der rbac-Gruppe, die der Wartungsaktivität zugeordnet sind |
|
Feste Geräte
|
fixedDevices | integer |
Die Anzahl der behobenen Computer für die Korrekturaktivität |
|
Erstellernotizen
|
requesterNotes | string |
Die Erstellernotizen für die Remeidation-Aktivität |
|
Fällig am
|
dueOn | date-time |
Die Fälligkeitszeit für die Wartungsaktivität |
|
Kategorie
|
category | string |
die Kategorie "Korrekturaktivität" |
|
Problembehandlungstyp für Produktivitätsbeeinträchtigungen
|
productivityImpactRemediationType | string |
der Art der Auswirkungen auf die Produktivität bei der Behebung |
|
Priority
|
priority | string |
Priorität der Korrekturaktivität |
|
Completion-Methode
|
completionMethod | string |
Die Abschlussmethode der Korrekturaktivität |
|
Completer-ID
|
completerId | string |
Die Id des Completer-Objekts der Wartungsaktivität |
|
Completer-E-Mail
|
completerEmail | string |
Die E-Mail-Adresse der Korrekturaktivität abgeschlossene E-Mail-Adresse |
|
Sicherheitskonfigurations-ID
|
scid | string |
Die Sicherheitskonfigurations-ID der Wartungsaktivität |
|
Typ
|
type | string |
Der Aktivitätstyp "Korrektur" |
|
Produkt-ID
|
productId | string |
Produkt-ID |
|
Anbieter-ID
|
vendorId | string |
Anbieter-ID |
|
Namens-ID
|
nameId | string |
Namens-ID |
|
Empfohlene Version
|
recommendedVersion | string |
Empfohlene Version |
|
Empfohlener Anbieter
|
recommendedVendor | string |
Empfohlener Anbieter |
|
Empfohlenes Programm
|
recommendedProgram | string |
Empfohlenes Programm |
|
Empfehlungsreferenz
|
RecommendationReference | string |
Empfehlungsreferenz |
MachineAction
Eine Einzelne Computeraktionsentität
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Aktions-ID
|
id | string |
Die ID der Computeraktion |
|
Aktionstyp
|
type | string |
Der Typ der Aktion (z. B. 'Isolate', 'CollectInvestigationPackage', ...) |
|
Anforderer
|
requestor | string |
Die Person, die die Computeraktion angefordert hat |
|
Kommentar
|
requestorComment | string |
Der Kommentar, der der Computeraktion zugeordnet ist |
|
Der Status
|
status | string |
Der Status der Computeraktion (z. B. "InProgress"). |
|
ID
|
machineId | string |
Die ID des Computers, auf dem die Aktion ausgeführt wurde |
|
Erstellungszeit
|
creationDateTimeUtc | date-time |
Die UTC-Zeit, zu der die Aktion angefordert wurde |
|
Zeitpunkt der letzten Aktualisierung
|
lastUpdateDateTimeUtc | date-time |
Die letzte UTC-Zeit, zu der die Aktion aktualisiert wurde |
|
Befehle
|
commands | array of LiveResponseCommandStatus |
Aktionsbefehle des Liveantwortcomputers |
LiveResponseCommandStatus
Ein einzelner Befehl in der Live Response-Computeraktionsentität
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Befehlsindex
|
index | integer |
Der Index des Befehls |
|
Startzeit der Befehlsausführung
|
startTime | date-time |
Die Startzeit der Befehlsausführung UTC |
|
Endzeit der Befehlsausführung
|
endTime | date-time |
Die Endzeit der Befehlsausführung UTC |
|
Befehlsstatus
|
commandStatus | string |
Der Status der Befehlsausführung (z. B. 'Abgeschlossen') |
|
Befehlsfehler
|
errors | array of string |
Liste der Befehlsausführungsfehler. Falls keine Fehler gemeldet wurden, ist dies eine leere Liste. |
|
Befehl
|
command | LiveResponseCommand |
LiveResponseCommand
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Befehlstyp
|
type | string |
Der Typ des Befehls |
|
Befehlsparameter
|
params | array of object |
Liste der Befehlsparameter. |
|
Befehlsparametertaste
|
params.key | string |
Der Schlüssel des Befehlsparameters |
|
Befehlsparameterwert
|
params.value | string |
Der Wert des Befehlsparameters |
FileStats
Eine einzelne Dateistatistikentität
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Sha1
|
sha1 | string |
Die Schattierung 1 der Datei |
|
Globale Verbreitung
|
globallyPrevalence | integer |
Die globale Verbreitung der Datei. |
|
Weltweit zuerst beobachtet
|
globalFirstObserved | date-time |
Das erste Mal, wenn die Datei global beobachtet wurde. |
|
Global zuletzt beobachtet
|
globalLastObserved | date-time |
Das letzte Mal, wenn die Datei beobachtet wurde. |
|
Organisationsprävalenz
|
organizationPrevalence | integer |
Die Verbreitung von Dateien in der gesamten Organisation |
|
Erste Beobachtung der Organisation
|
orgFirstSeen | date-time |
Das erste Mal, wenn die Datei in der Organisation beobachtet wurde. |
|
Zuletzt beobachtete Organisation
|
orgLastSeen | date-time |
Das letzte Mal, wenn die Datei in der Organisation beobachtet wurde. |
|
Die wichtigsten Dateinamen
|
topFileNames | array of string |
Die Dateinamen, die diese Datei präsentiert wurde. |
IpStats
Eine einzelne IP-Adressstatistikentität
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Ip-Adresse
|
ipAddress | string |
Die IP-Adresse |
|
Organisationsprävalenz
|
organizationPrevalence | integer |
Die Ip-Adressprävalenz in der gesamten Organisation |
|
Erste Beobachtung der Organisation
|
orgFirstSeen | date-time |
Das erste Mal, wenn die IP-Adresse in der Organisation beobachtet wurde. |
|
Zuletzt beobachtete Organisation
|
orgLastSeen | date-time |
Das letzte Mal, wenn die IP-Adresse in der Organisation beobachtet wurde. |
DomainStats
Eine einzelne IP-Adressstatistikentität
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Host
|
host | string |
Der Domänenhost. |
|
Organisationsprävalenz
|
organizationPrevalence | integer |
Die Domänenprävalenz in der gesamten Organisation |
|
Erste Beobachtung der Organisation
|
orgFirstSeen | date-time |
Das erste Mal, wenn die Domäne in der Organisation beobachtet wurde. |
|
Zuletzt beobachtete Organisation
|
orgLastSeen | date-time |
Das letzte Mal, wenn die Domäne in der Organisation beobachtet wurde. |
Untersuchung
Eine einzelne Untersuchungsentität
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
ID
|
id | string |
Die ID der Untersuchung |
|
Untersuchungsstatus
|
state | string |
Der Zustand der Untersuchung (z. B. "Gutartig", "Laufen" usw.) |
|
Statusdetails
|
statusDetails | string |
Details zum Status |
|
Name des Computers
|
computerDnsName | string |
Der Computername |
|
Computer-ID
|
machineId | string |
Die Computer-ID |
|
Startzeit
|
startTime | date-time |
Die UTC-Zeit, zu der die Untersuchung gestartet wurde |
|
Endzeitpunkt
|
endTime | date-time |
Die UTC-Zeit, zu der die Untersuchung abgeschlossen wurde |
WebHookNotification
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Warnungs-ID
|
id | string | |
|
Computer-ID
|
machineId | string |