Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die vollständige verfügbare Oberfläche der Warnungs-API für alle Microsoft Defenders-Produkte finden Sie unter Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| ID | Zeichenfolge | Warnungs-ID. |
| title | String | Warnungstitel. |
| description | String | Warnungsbeschreibung. |
| alertCreationTime | Nullable DateTimeOffset | Das Datum und die Uhrzeit (in UTC), zu dem die Warnung erstellt wurde. |
| lastEventTime | Nullable DateTimeOffset | Das letzte Vorkommen des Ereignisses, das die Warnung auf demselben Gerät ausgelöst hat. |
| firstEventTime | Nullable DateTimeOffset | Das erste Vorkommen des Ereignisses, das die Warnung auf diesem Gerät ausgelöst hat. |
| lastUpdateTime | Nullable DateTimeOffset | Das Datum und die Uhrzeit (in UTC), zu dem die Warnung zuletzt aktualisiert wurde. |
| resolvedTime | Nullable DateTimeOffset | Das Datum und die Uhrzeit, an dem die status der Warnung in Gelöst geändert wurde. |
| incidentId | Nullable Long | Die Incident-ID der Warnung. |
| investigationId | Nullable Long | Die Untersuchungs-ID im Zusammenhang mit der Warnung. |
| investigationState | Nullable Enum | Der aktuelle Status der Untersuchung. Mögliche Werte: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| assignedTo | Zeichenfolge | Besitzer der Warnung. |
| rbacGroupName | Zeichenfolge | Name der Gerätegruppe für die rollenbasierte Zugriffssteuerung. |
| mitreTechniques | Zeichenfolge | Mitre Enterprise-Technik-ID. |
| relatedUser | Zeichenfolge | Details des Benutzers im Zusammenhang mit einer bestimmten Warnung. |
| Schweregrad | Enum | Der Schweregrad der Warnung. Mögliche Werte sind: UnSpecified, Informational, Low, Medium und High. |
| status | Enum | Gibt die aktuelle status der Warnung an. Mögliche Werte sind: Unknown, New, InProgress und Resolved. |
| classification | Nullable Enum | Spezifikation der Warnung. Mögliche Werte sind: TruePositive, Informational, expected activityund FalsePositive. |
| Entschlossenheit | Nullable Enum | Gibt die Bestimmung der Warnung an. Mögliche Bestimmungswerte für jede Klassifizierung sind: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – erwägen Sie, Malware den Enumerationsnamen in der öffentlichen API entsprechend (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) und Other (Other) zu ändern. Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend und Other (Sonstige) zu ändern. Not malicious (Bereinigen) – Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend (InsufficientData) und Other (Sonstige) zu Not enough data to validate ändern. |
| category | String | Die Kategorie der Warnung. |
| detectionSource | Zeichenfolge | Erkennungsquelle. |
| threatFamilyName | Zeichenfolge | Bedrohungsfamilie. |
| threatName | Zeichenfolge | Bedrohungsname. |
| machineId | Zeichenfolge | ID einer Computerentität , die der Warnung zugeordnet ist. |
| computerDnsName | Zeichenfolge | vollqualifizierter Computername . |
| aadTenantId | Zeichenfolge | Die Microsoft Entra ID. |
| detectorId | Zeichenfolge | Die ID des Detektors, der die Warnung ausgelöst hat. |
| Kommentare | Liste der Warnungskommentare | Das Alert Comment-Objekt enthält: kommentarzeichenfolge, createdBy string und createTime date time. |
| Beweis | Liste der Warnungsbeweis | Beweise im Zusammenhang mit der Warnung. Beispiel: |
Hinweis
Um den 29. August 2022 werden zuvor unterstützte Warnungsermittlungswerte (Apt und SecurityPersonnel) veraltet und über die API nicht mehr verfügbar sein.
Antwortbeispiel für das Abrufen einer einzelnen Warnung:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}