ATP de Microsoft Defender
ATP de Microsoft Defender es una plataforma unificada para la protección preventiva, la detección posterior a la vulneración, la investigación automatizada y la respuesta. Obtenga más información sobre él aquí: http://aka.ms/wdatp
Este conector está disponible en los siguientes productos y regiones:
| Service | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Todas las regiones de Power Automate excepto las siguientes: - China Cloud operado por 21Vianet |
| Aplicaciones lógicas | Estándar | Todas las regiones de Logic Apps excepto las siguientes: - Regiones de Azure China |
| Power Apps | Premium | Todas las regiones de Power Apps excepto las siguientes: - China Cloud operado por 21Vianet |
| Power Automate | Premium | Todas las regiones de Power Automate excepto las siguientes: - China Cloud operado por 21Vianet |
| Contacto | |
|---|---|
| Nombre | Microsoft |
| URL |
Compatibilidad con Microsoft LogicApps Soporte técnico de Microsoft Power Automate Soporte técnico de Microsoft Power Apps |
| Metadatos del conector | |
|---|---|
| Publicador | Microsoft |
| Website | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
Creación de una conexión
El conector admite los siguientes tipos de autenticación:
| Predeterminado | Parámetros para crear una conexión. | Todas las regiones | No se puede compartir |
Predeterminado
Aplicable: Todas las regiones
Parámetros para crear una conexión.
Esta conexión no se puede compartir. Si la aplicación de energía se comparte con otro usuario, se pedirá a otro usuario que cree explícitamente una nueva conexión.
Limitaciones
| Nombre | Llamadas | Período de renovación |
|---|---|---|
| Llamadas API por conexión | 100 | 60 segundos |
Acciones
| Acciones: aislar la máquina |
Aislar una máquina de la red |
| Acciones: cancelación de una sola acción de máquina |
Cancelar una acción de máquina específica |
| Acciones: desolar la máquina |
Desolar una máquina de la red |
| Acciones: ejecución de la respuesta dinámica |
Ejecución de comandos de api de respuesta dinámica para una sola máquina |
| Acciones: ejecución del examen antivirus |
Iniciar el examen del Antivirus de Windows Defender en una máquina |
| Acciones: eliminación de la restricción de ejecución de la aplicación |
Habilitación de la ejecución de cualquier aplicación en la máquina |
| Acciones: iniciar la investigación en una máquina (para que esté en desuso) |
Iniciar la investigación en una máquina |
| Acciones: iniciar una investigación automatizada en una máquina (versión preliminar) |
Inicio de una investigación automatizada en una máquina |
| Acciones: obtención de una acción de máquina única |
Recuperar de ATP de Windows Defender una acción de máquina específica |
| Acciones: obtención de una única investigación |
Recuperar de ATP de Microsoft Defender una investigación específica |
| Acciones: obtención del URI de descarga del paquete de investigación |
Obtener un URI que permita la descarga de un paquete de investigación |
| Acciones: obtención del URI de descarga del resultado del comando de respuesta activa |
Obtención del URI de descarga de resultados para un comando de respuesta dinámica completado |
| Acciones: obtener la lista de acciones de la máquina |
Recuperar de ATP de Windows Defender las acciones de máquina más recientes |
| Acciones: obtener la lista de investigación |
Recuperar de ATP de Microsoft Defender las investigaciones más recientes |
| Acciones: recopilación del paquete de investigación |
Recopilación del paquete de investigación de una máquina |
| Acciones: restricción de la ejecución de aplicaciones |
Restringir la ejecución de todas las aplicaciones en la máquina, excepto un conjunto predefinido |
| Actividades de corrección: obtener la lista de máquinas relacionadas (versión preliminar) |
Recuperar de ATP de Windows Defender las máquinas relacionadas con una actividad de corrección específica |
| Alertas: actualización de alertas |
Actualizar una alerta de ATP de Windows Defender |
| Alertas: creación de alertas |
Creación de una alerta basada en un evento específico |
| Alertas: obtención de una sola alerta |
Recuperar de ATP de Windows Defender una alerta específica |
| Alertas: obtener una lista de alertas |
Recuperar de ATP de Windows Defender las alertas más recientes |
| Archivos: obtención de las estadísticas del archivo especificado |
Recuperar de las estadísticas de ATP de Windows Defender para el archivo especificado en un archivo determinado por identificador Sha1 o Sha256 |
| Búsqueda avanzada |
Ejecutar una consulta personalizada en ATP de Windows Defender |
| Dominios: obtiene las estadísticas del nombre de dominio especificado. |
Recuperar de las estadísticas de ATP de Windows Defender relacionadas con un nombre de dominio determinado |
| Ips: obtención de las estadísticas de la dirección IP especificada |
Recuperar de las estadísticas de ATP de Windows Defender relacionadas con una dirección IP determinada, dada en formato ipv4 o ipv6. |
| Máquinas: etiquetar máquina |
Agregar o quitar una etiqueta a o desde una máquina |
| Máquinas: obtención de una sola máquina |
Recuperar de ATP de Windows Defender una máquina específica |
| Máquinas: obtener una lista de máquinas |
Recuperar de ATP de Windows Defender las máquinas más recientes |
|
Remediation |
Recuperar de ATP de Windows Defender una actividad de corrección específica |
| Tareas de corrección: obtener la lista de actividades de corrección (versión preliminar) |
Recuperar de ATP de Windows Defender las actividades de reasignación |
Acciones: aislar la máquina
Aislar una máquina de la red
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de máquina
|
Machine ID | True | string |
Identificador de la máquina que se va a aislar |
|
Comentario
|
Comment | True | string |
Comentario que se va a asociar al aislamiento |
|
Tipo de aislamiento
|
IsolationType | True | string |
Tipo del aislamiento. Los valores permitidos son "Full" (para el aislamiento completo) o "Selectivo" (para restringir solo un conjunto limitado de aplicaciones para acceder a la red). |
Devoluciones
Una sola entidad de acción de máquina
- Acción de máquina
- MachineAction
Acciones: cancelación de una sola acción de máquina
Cancelar una acción de máquina específica
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de la acción de la máquina
|
Machine Action ID | True | string |
Identificador de la acción del equipo que se va a cancelar |
|
Comentario
|
Comment | True | string |
Comentario que se va a asociar a la cancelación de la acción del equipo |
Devoluciones
Una sola entidad de acción de máquina
- Acción de máquina
- MachineAction
Acciones: desolar la máquina
Desolar una máquina de la red
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de máquina
|
Machine ID | True | string |
Identificador de la máquina que se va a aislar |
|
Comentario
|
Comment | True | string |
Comentario que se va a asociar a la unisolación |
Devoluciones
Una sola entidad de acción de máquina
- Acción de máquina
- MachineAction
Acciones: ejecución de la respuesta dinámica
Ejecución de comandos de api de respuesta dinámica para una sola máquina
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de máquina
|
Machine ID | True | string |
El identificador de la máquina en la que se va a ejecutar la sesión de respuesta activa |
|
Comentario
|
Comment | True | string |
Comentario que se va a asociar al aislamiento |
|
Tipo de comando
|
type | True | string |
Tipo del comando |
|
Clave de parámetro de comando
|
key | string |
Clave del parámetro de comando |
|
|
Valor del parámetro de comando
|
value | string |
Valor del parámetro de comando |
Devoluciones
Una sola entidad de acción de máquina
- Acción de máquina
- MachineAction
Acciones: ejecución del examen antivirus
Iniciar el examen del Antivirus de Windows Defender en una máquina
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de máquina
|
Machine ID | True | string |
Identificador de la máquina que se va a examinar |
|
Comentario
|
Comment | True | string |
Comentario que se va a asociar a la solicitud de examen |
|
Tipo de examen
|
ScanType | True | string |
Tipo de examen que se va a realizar. Los valores permitidos son "Quick" o "Full" |
Devoluciones
Una sola entidad de acción de máquina
- Acción de máquina
- MachineAction
Acciones: eliminación de la restricción de ejecución de la aplicación
Habilitación de la ejecución de cualquier aplicación en la máquina
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de máquina
|
Machine ID | True | string |
El identificador de la máquina que se va a desasordenar |
|
Comentario
|
Comment | True | string |
Comentario que se va a asociar a la eliminación de restricciones |
Devoluciones
Una sola entidad de acción de máquina
- Acción de máquina
- MachineAction
Acciones: iniciar la investigación en una máquina (para que esté en desuso)
Iniciar la investigación en una máquina
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de máquina
|
Machine ID | True | string |
Identificador de la máquina que se va a investigar |
|
Comentario
|
Comment | True | string |
Comentario que se va a asociar a la investigación |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Identificador de investigación
|
value | string |
Identificador de la investigación |
Acciones: iniciar una investigación automatizada en una máquina (versión preliminar)
Inicio de una investigación automatizada en una máquina
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de máquina
|
Machine ID | True | string |
Identificador de la máquina que se va a investigar |
|
Comentario
|
Comment | True | string |
Comentario que se va a asociar a la investigación |
Devoluciones
Una sola entidad de investigación
- Investigación
- Investigation
Acciones: obtención de una acción de máquina única
Recuperar de ATP de Windows Defender una acción de máquina específica
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de la acción de la máquina
|
Machine Action ID | True | string |
Identificador de la acción de la máquina que se va a recuperar |
Devoluciones
Una sola entidad de acción de máquina
- Acción de máquina
- MachineAction
Acciones: obtención de una única investigación
Recuperar de ATP de Microsoft Defender una investigación específica
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de la investigación
|
Investigation ID | True | string |
Identificador de la investigación que se va a recuperar |
Devoluciones
Una sola entidad de investigación
- Investigación
- Investigation
Acciones: obtención del URI de descarga del paquete de investigación
Obtener un URI que permita la descarga de un paquete de investigación
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de la acción
|
Machine action ID | True | string |
Identificador de la colección de paquetes de investigación |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
URI de SAS del paquete
|
value | string |
URI de SAS del paquete de investigación |
Acciones: obtención del URI de descarga del resultado del comando de respuesta activa
Obtención del URI de descarga de resultados para un comando de respuesta dinámica completado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de la acción de la máquina
|
Machine Action ID | True | string |
Identificador de la acción de la máquina |
|
Índice del comando de respuesta dinámica
|
Command Index | True | integer |
Índice del comando de respuesta activa para obtener el URI de descarga de resultados para |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Descargar URI
|
value | string |
El URI de descarga del comando de respuesta dinámica |
Acciones: obtener la lista de acciones de la máquina
Recuperar de ATP de Windows Defender las acciones de máquina más recientes
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Filtra los resultados
|
$filter | string |
Filtra los resultados mediante la sintaxis de OData. |
|
|
Selecciona propiedades
|
$select | string |
Selecciona qué propiedades se van a incluir en la respuesta, el valor predeterminado es all. |
|
|
Ordena los resultados
|
$orderby | string |
Ordena los resultados. |
|
|
Devuelve los primeros resultados
|
$top | integer |
Devuelve solo los primeros n resultados. |
|
|
Omite los primeros resultados
|
$skip | integer |
Omite los primeros n resultados. |
|
|
Incluye recuento
|
$count | boolean |
Incluye un recuento de los resultados coincidentes en la respuesta. |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Recuento de acciones de máquina
|
@odata.count | integer |
Número de acciones de máquina disponibles por esta consulta |
|
Acciones de máquina
|
value | array of MachineAction |
Las acciones de la máquina devueltas |
|
Vínculo siguiente
|
@odata.nextLink | string |
Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados. |
Acciones: obtener la lista de investigación
Recuperar de ATP de Microsoft Defender las investigaciones más recientes
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Filtra los resultados
|
$filter | string |
Filtra los resultados mediante la sintaxis de OData. |
|
|
Selecciona propiedades
|
$select | string |
Selecciona qué propiedades se van a incluir en la respuesta, el valor predeterminado es all. |
|
|
Ordena los resultados
|
$orderby | string |
Ordena los resultados. |
|
|
Devuelve los primeros resultados
|
$top | integer |
Devuelve solo los primeros n resultados. |
|
|
Omite los primeros resultados
|
$skip | integer |
Omite los primeros n resultados. |
|
|
Incluye recuento
|
$count | boolean |
Incluye un recuento de los resultados coincidentes en la respuesta. |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Recuento de investigaciones
|
@odata.count | integer |
Número de investigaciones disponibles por esta consulta |
|
Investigaciones
|
value | array of Investigation |
Las investigaciones devueltas |
|
Vínculo siguiente
|
@odata.nextLink | string |
Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados. |
Acciones: recopilación del paquete de investigación
Recopilación del paquete de investigación de una máquina
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de máquina
|
Machine ID | True | string |
Identificador de la máquina de la que se va a recopilar la investigación |
|
Comentario
|
Comment | True | string |
Comentario que se va a asociar a la colección |
Devoluciones
Una sola entidad de acción de máquina
- Acción de máquina
- MachineAction
Acciones: restricción de la ejecución de aplicaciones
Restringir la ejecución de todas las aplicaciones en la máquina, excepto un conjunto predefinido
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de máquina
|
Machine ID | True | string |
El identificador de la máquina que se va a restringir |
|
Comentario
|
Comment | True | string |
Comentario que se va a asociar a la restricción |
Devoluciones
Una sola entidad de acción de máquina
- Acción de máquina
- MachineAction
Actividades de corrección: obtener la lista de máquinas relacionadas (versión preliminar)
Recuperar de ATP de Windows Defender las máquinas relacionadas con una actividad de corrección específica
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de la actividad de corrección
|
RemediationID | True | string |
Identificador de la actividad de corrección que se va a recuperar |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Recuento de máquinas
|
@odata.count | integer |
Número de máquinas disponibles por esta consulta |
|
Machines
|
value | array of Machine |
Las máquinas devueltas |
|
Vínculo siguiente
|
@odata.nextLink | string |
Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados. |
Alertas: actualización de alertas
Actualizar una alerta de ATP de Windows Defender
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de la alerta
|
Alert ID | True | string |
Identificador de la alerta que se va a actualizar |
|
Estado
|
status | string |
Estado de la alerta. Uno de los elementos "New", "InProgress" y "Resolved" |
|
|
Asignado a
|
assignedTo | string |
Persona a la que asignar la alerta |
|
|
Classification
|
classification | string |
Clasificación de la alerta. Uno de 'Unknown', 'FalsePositive', 'TruePositive' |
|
|
Determinación
|
determination | string |
Determinación de la alerta. Uno de 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other' |
Devoluciones
Una sola entidad de alerta
- Alert
- Alert
Alertas: creación de alertas
Creación de una alerta basada en un evento específico
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de máquina
|
machineId | True | string |
Identificador de la máquina en la que se identificó el evento |
|
Id. de informe
|
reportId | True | integer |
Identificador de informe del evento |
|
Hora del evento
|
eventTime | True | string |
Hora del evento como cadena, por ejemplo, 2018-08-03T16:45:21.7115183Z |
|
Severity
|
severity | True | string |
Gravedad de la alerta. |
|
Categoría
|
category | True | string |
Categoría de la alerta |
|
Title
|
title | True | string |
Título de la alerta |
|
Description
|
description | True | string |
Descripción de la alerta |
|
Acción recomendada
|
recommendedAction | True | string |
Acción recomendada para la alerta |
Devoluciones
Una sola entidad de alerta
- Alert
- Alert
Alertas: obtención de una sola alerta
Recuperar de ATP de Windows Defender una alerta específica
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de la alerta
|
Alert ID | True | string |
Identificador de la alerta que se va a recuperar |
Devoluciones
Una sola entidad de alerta
- Alert
- Alert
Alertas: obtener una lista de alertas
Recuperar de ATP de Windows Defender las alertas más recientes
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Expande las entidades
|
$expand | string |
Expande las entidades relacionadas en línea. |
|
|
Filtra los resultados
|
$filter | string |
Filtra los resultados mediante la sintaxis de OData. |
|
|
Selecciona propiedades
|
$select | string |
Selecciona qué propiedades se van a incluir en la respuesta, el valor predeterminado es all. |
|
|
Ordena los resultados
|
$orderby | string |
Ordena los resultados. |
|
|
Devuelve los primeros resultados
|
$top | integer |
Devuelve solo los primeros n resultados. |
|
|
Omite los primeros resultados
|
$skip | integer |
Omite los primeros n resultados. |
|
|
Incluye recuento
|
$count | boolean |
Incluye un recuento de los resultados coincidentes en la respuesta. |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Recuento de alertas
|
@odata.count | integer |
El número de alertas disponibles de esta consulta |
|
Alerts
|
value | array of Alert |
Las alertas devueltas |
|
Vínculo siguiente
|
@odata.nextLink | string |
Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados. |
Archivos: obtención de las estadísticas del archivo especificado
Recuperar de las estadísticas de ATP de Windows Defender para el archivo especificado en un archivo determinado por identificador Sha1 o Sha256
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de archivo: Sha1 o Sha256
|
File ID | True | string |
Identificador de archivo: Sha1 o Sha256 |
|
El período de retroceso en horas que se va a buscar, el valor predeterminado es de 24 horas.
|
lookBackHours | integer |
El período de retroceso en horas que se va a buscar, el valor predeterminado es de 24 horas. |
Devoluciones
Una sola entidad de estadísticas de archivo
- Estadísticas de archivo
- FileStats
Búsqueda avanzada
Ejecutar una consulta personalizada en ATP de Windows Defender
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Query
|
Query | True | string |
Consulta que se va a ejecutar |
Devoluciones
Dominios: obtiene las estadísticas del nombre de dominio especificado.
Recuperar de las estadísticas de ATP de Windows Defender relacionadas con un nombre de dominio determinado
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
El nombre de dominio
|
Domain Name | True | string |
El nombre de dominio |
|
El período de retroceso en horas que se va a buscar, el valor predeterminado es de 24 horas.
|
lookBackHours | integer |
El período de retroceso en horas que se va a buscar, el valor predeterminado es de 24 horas. |
Devoluciones
Una sola entidad de estadísticas de direcciones IP
- Estadísticas de dominio
- DomainStats
Ips: obtención de las estadísticas de la dirección IP especificada
Recuperar de las estadísticas de ATP de Windows Defender relacionadas con una dirección IP determinada, dada en formato ipv4 o ipv6.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
La dirección IP
|
Ip Address | True | string |
La dirección IP |
|
El período de retroceso en horas que se va a buscar, el valor predeterminado es de 24 horas.
|
lookBackHours | integer |
El período de retroceso en horas que se va a buscar, el valor predeterminado es de 24 horas. |
Devoluciones
Una sola entidad de estadísticas de direcciones IP
- Estadísticas de IP
- IpStats
Máquinas: etiquetar máquina
Agregar o quitar una etiqueta a o desde una máquina
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de la máquina
|
Machine ID | True | string |
Identificador de la máquina a la que se debe agregar o quitar la etiqueta |
|
Importancia
|
Value | True | string |
Etiqueta que se va a agregar o quitar |
|
Acción
|
Action | True | string |
La acción a realizar. El valor debe ser uno de "Agregar" (para agregar una etiqueta) o "Quitar" (para quitar una etiqueta) |
Devoluciones
Una sola entidad de máquina
- Máquina
- Machine
Máquinas: obtención de una sola máquina
Recuperar de ATP de Windows Defender una máquina específica
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de la máquina
|
Machine ID | True | string |
Identificador de la máquina que se va a recuperar |
Devoluciones
Una sola entidad de máquina
- Máquina
- Machine
Máquinas: obtener una lista de máquinas
Recuperar de ATP de Windows Defender las máquinas más recientes
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Filtra los resultados
|
$filter | string |
Filtra los resultados mediante la sintaxis de OData. |
|
|
Selecciona propiedades
|
$select | string |
Selecciona qué propiedades se van a incluir en la respuesta, el valor predeterminado es all. |
|
|
Ordena los resultados
|
$orderby | string |
Ordena los resultados. |
|
|
Devuelve los primeros resultados
|
$top | integer |
Devuelve solo los primeros n resultados. |
|
|
Omite los primeros resultados
|
$skip | integer |
Omite los primeros n resultados. |
|
|
Incluye recuento
|
$count | boolean |
Incluye un recuento de los resultados coincidentes en la respuesta. |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Recuento de máquinas
|
@odata.count | integer |
Número de máquinas disponibles por esta consulta |
|
Machines
|
value | array of Machine |
Las máquinas devueltas |
|
Vínculo siguiente
|
@odata.nextLink | string |
Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados. |
RemediationActivities: obtener una actividad de corrección única (versión preliminar)
Recuperar de ATP de Windows Defender una actividad de corrección específica
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Identificador de la actividad de corrección
|
RemediationID | True | string |
Identificador de la actividad de corrección que se va a recuperar |
Devoluciones
Una sola entidad de actividad de corrección
- Actividad de corrección
- RemediationActivity
Tareas de corrección: obtener la lista de actividades de corrección (versión preliminar)
Recuperar de ATP de Windows Defender las actividades de reasignación
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Filtra los resultados
|
$filter | string |
Filtra los resultados mediante la sintaxis de OData. |
|
|
Selecciona propiedades
|
$select | string |
Selecciona qué propiedades se van a incluir en la respuesta, el valor predeterminado es all. |
|
|
Ordena los resultados
|
$orderby | string |
Ordena los resultados. |
|
|
Devuelve los primeros resultados
|
$top | integer |
Devuelve solo los primeros n resultados. |
|
|
Omite los primeros resultados
|
$skip | integer |
Omite los primeros n resultados. |
|
|
Incluye recuento
|
$count | boolean |
Incluye un recuento de los resultados coincidentes en la respuesta. |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Recuento de actividades de corrección
|
@odata.count | integer |
Número de actividades de corrección realizadas por esta consulta |
|
Actividades de corrección
|
value | array of RemediationActivity |
Las actividades de corrección devueltas |
|
Vínculo siguiente
|
@odata.nextLink | string |
Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados. |
Desencadenadores
| Desencadenadores: desencadenador cuando se produce una nueva alerta WDATP |
Suscribirse a alertas de ATP de Windows Defender |
| Se desencadena cuando se crea una nueva actividad de corrección (versión preliminar) |
Desencadena cuando se crea una nueva actividad de corrección |
Desencadenadores: desencadenador cuando se produce una nueva alerta WDATP
Se desencadena cuando se crea una nueva actividad de corrección (versión preliminar)
Desencadena cuando se crea una nueva actividad de corrección
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Recuento de actividades de corrección
|
@odata.count | integer |
Número de actividades de corrección realizadas por esta consulta |
|
Actividades de corrección
|
value | array of RemediationActivity |
Las actividades de corrección devueltas |
|
Vínculo siguiente
|
@odata.nextLink | string |
Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados. |
Definiciones
Alert
Una sola entidad de alerta
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Id. de alerta
|
id | string |
Identificador de alerta |
|
Id. de incidente
|
incidentId | integer |
El identificador del incidente |
|
Identificador de investigación
|
investigationId | integer |
Identificador de la investigación |
|
Gravedad de la alerta
|
severity | string |
Gravedad de la alerta |
|
Estado
|
status | string |
Estado de la alerta |
|
Description
|
description | string |
Descripción de alerta |
|
Hora de creación de alertas
|
alertCreationTime | date-time |
Hora en la que se creó la alerta |
|
Categoría
|
category | string |
Categoría de alerta |
|
Title
|
title | string |
Título de la alerta |
|
Nombre de familia de amenazas
|
threatFamilyName | string |
Nombre de familia de amenazas |
|
Origen de detección
|
detectionSource | string |
Origen de detección |
|
Classification
|
classification | string |
Clasificación de alerta |
|
Determinación
|
determination | string |
Determinación de alertas |
|
Asignado a
|
assignedTo | string |
Persona a la que se asignó la alerta |
|
Hora resuelta
|
resolvedTime | string |
Hora a la que se resolvió la alerta |
|
Hora del último evento
|
lastEventTime | date-time |
Hora del último evento relacionado con la alerta |
|
Primera hora del evento
|
firstEventTime | date-time |
Hora del primer evento relacionado con la alerta |
|
Id. de máquina
|
machineId | string |
Identificador de la máquina relacionada con la alerta |
Máquina
Una sola entidad de máquina
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Id. de máquina
|
id | string |
Identificador de la máquina |
|
Nombre del equipo
|
computerDnsName | string |
El nombre del equipo |
|
Primera vista
|
firstSeen | date-time |
Hora del primer evento recibido por la máquina |
|
Visto por última vez
|
lastSeen | date-time |
Hora del último evento recibido por la máquina |
|
Plataforma del sistema operativo
|
osPlatform | string |
La plataforma del sistema operativo de la máquina |
|
Versión del sistema operativo
|
osVersion | string |
La versión del sistema operativo de la máquina |
|
Nombre del producto del sistema
|
systemProductName | date-time |
systemProductName |
|
Última dirección IP
|
lastIpAddress | string |
La última dirección IP de la máquina |
|
Última dirección IP externa
|
lastExternalIpAddress | string |
La última dirección IP externa de la máquina |
|
Versión del agente
|
agentVersion | string |
La versión del agente |
|
Compilación del sistema operativo
|
osBuild | integer |
Compilación del sistema operativo de la máquina |
|
Estado de mantenimiento
|
healthStatus | string |
Estado de mantenimiento de la máquina |
|
¿Está unido el identificador de Entra de Microsoft?
|
isAadJoined | boolean |
Marca que indica si la máquina está unida a Microsoft Entra ID |
|
Etiquetas de máquina
|
machineTags | array of string |
Etiquetas asociadas a la máquina |
|
Id. de grupo de RBAC
|
rbacGroupId | integer |
Identificador del grupo de RBAC al que pertenece la máquina |
|
Nombre del grupo RBAC
|
rbacGroupName | string |
Nombre del grupo de RBAC al que pertenece la máquina. |
|
Puntuación de riesgo
|
riskScore | string |
Puntuación que indica cuánto está en riesgo la máquina |
|
Id. de dispositivo de Microsoft Entra
|
aadDeviceId | string |
aadDeviceId |
RemediationActivity
Una sola entidad de actividad de corrección
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Identificador de actividad de corrección
|
id | string |
Identificador de actividad de corrección |
|
Título de la actividad de corrección
|
title | string |
Título de la activit de corrección |
|
Fecha de creación
|
createdOn | date-time |
Hora en que se creó la actividad de corrección |
|
Estado modificado por última vez
|
statusLastModifiedOn | date-time |
Hora a la que se modificó por última vez el estado |
|
Id. del creador
|
requesterId | string |
Identificador del creador de la actividad de corrección |
|
Correo electrónico del creador
|
requesterEmail | string |
Dirección de correo electrónico del creador de la actividad de corrección |
|
Estado
|
status | string |
el estado de la actividad de corrección |
|
Description
|
description | string |
Descripción de la actividad de corrección |
|
Componente relacionado
|
relatedComponent | string |
Componente relacionado con la actividad de corrección |
|
Dispositivos de destino
|
targetDevices | integer |
Número de máquinas de destino de actividad de corrección |
|
Nombres de grupo de Rbac
|
rbacGroupNames | array of string |
Los nombres de grupo de rbac asociados a la actividad de corrección |
|
Dispositivos fijos
|
fixedDevices | integer |
El número de máquinas fijas de la actividad de corrección |
|
notas del creador
|
requesterNotes | string |
Notas del creador de la actividad de remeidación |
|
Vencimiento
|
dueOn | date-time |
El tiempo de vencimiento de la actividad de corrección |
|
Categoría
|
category | string |
la categoría de actividad de corrección |
|
Tipo de corrección de impacto en la productividad
|
productivityImpactRemediationType | string |
tipo de impacto de productividad de corrección |
|
Priority
|
priority | string |
Prioridad de la actividad de corrección |
|
Método de finalización
|
completionMethod | string |
Método de finalización de la actividad de corrección |
|
Id. del completador
|
completerId | string |
Identificador de objeto del completador de la actividad de corrección |
|
Correo electrónico del completador
|
completerEmail | string |
Dirección de correo electrónico del completador de la actividad de corrección |
|
Identificador de configuración de seguridad
|
scid | string |
Identificador de configuración de seguridad de la actividad de corrección |
|
Tipo
|
type | string |
Tipo de actividad de corrección |
|
Id. de producto
|
productId | string |
Id. de producto |
|
Identificador del proveedor
|
vendorId | string |
Identificador del proveedor |
|
Id. de nombre
|
nameId | string |
Id. de nombre |
|
Versión recomendada
|
recommendedVersion | string |
Versión recomendada |
|
Proveedor recomendado
|
recommendedVendor | string |
Proveedor recomendado |
|
Programa recomendado
|
recommendedProgram | string |
Programa recomendado |
|
Referencia de recomendación
|
RecommendationReference | string |
Referencia de recomendación |
MachineAction
Una sola entidad de acción de máquina
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Id. de la acción
|
id | string |
El identificador de la acción de la máquina |
|
Tipo de acción
|
type | string |
Tipo de la acción (por ejemplo, "Isolate", "CollectInvestigationPackage", ...) |
|
Solicitante
|
requestor | string |
Persona que solicitó la acción de la máquina |
|
Comentario
|
requestorComment | string |
Comentario asociado a la acción del equipo |
|
Estado
|
status | string |
Estado de la acción de la máquina (por ejemplo, "InProgress") |
|
identificación
|
machineId | string |
Identificador de la máquina en la que se ha realizado la acción. |
|
Hora de creación
|
creationDateTimeUtc | date-time |
Hora UTC a la que se ha solicitado la acción |
|
Hora de la última actualización
|
lastUpdateDateTimeUtc | date-time |
La última hora UTC a la que se actualizó la acción |
|
Commands
|
commands | array of LiveResponseCommandStatus |
Comandos de acción de la máquina de respuesta dinámica |
LiveResponseCommandStatus
Un único comando en la entidad de acción de la máquina de respuesta dinámica
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Índice de comandos
|
index | integer |
Índice del comando |
|
Hora de inicio de ejecución del comando
|
startTime | date-time |
Hora utc de inicio de ejecución del comando |
|
Hora de finalización de la ejecución del comando
|
endTime | date-time |
Hora utc de finalización de la ejecución del comando |
|
Estado del comando
|
commandStatus | string |
Estado de la ejecución del comando (por ejemplo, "Completado") |
|
Errores de comando
|
errors | array of string |
Lista de errores de ejecución de comandos. En caso de que no se notifique ningún error, será una lista vacía. |
|
command
|
command | LiveResponseCommand |
LiveResponseCommand
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Tipo de comando
|
type | string |
Tipo del comando |
|
Parámetros de comandos
|
params | array of object |
Lista de parámetros de comando. |
|
Clave de parámetro de comando
|
params.key | string |
Clave del parámetro de comando |
|
Valor del parámetro de comando
|
params.value | string |
Valor del parámetro de comando |
FileStats
Una sola entidad de estadísticas de archivo
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Sha1
|
sha1 | string |
Sha1 del archivo |
|
Prevalencia global
|
globallyPrevalence | integer |
Prevalencia global del archivo. |
|
Se observó por primera vez globalmente
|
globalFirstObserved | date-time |
La primera vez que el archivo se observó globalmente. |
|
Última observación global
|
globalLastObserved | date-time |
La última vez que se observó el archivo. |
|
Prevalencia de la organización
|
organizationPrevalence | integer |
La prevalencia de los archivos en toda la organización |
|
Organización observada por primera vez
|
orgFirstSeen | date-time |
La primera vez que se observó el archivo en la organización. |
|
Última observación de la organización
|
orgLastSeen | date-time |
La última vez que se observó el archivo en la organización. |
|
Nombres de archivo principales
|
topFileNames | array of string |
Nombres de archivo que se han presentado a este archivo. |
IpStats
Una sola entidad de estadísticas de direcciones IP
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Ip Adress
|
ipAddress | string |
Dirección IP |
|
Prevalencia de la organización
|
organizationPrevalence | integer |
La prevalencia de direcciones IP en toda la organización |
|
Organización observada por primera vez
|
orgFirstSeen | date-time |
La primera vez que se observó la dirección IP en la organización. |
|
Última observación de la organización
|
orgLastSeen | date-time |
La última vez que se observó la dirección IP en la organización. |
DomainStats
Una sola entidad de estadísticas de direcciones IP
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Host
|
host | string |
Host de dominio. |
|
Prevalencia de la organización
|
organizationPrevalence | integer |
La prevalencia del dominio en toda la organización |
|
Organización observada por primera vez
|
orgFirstSeen | date-time |
La primera vez que se observó el dominio en la organización. |
|
Última observación de la organización
|
orgLastSeen | date-time |
La última vez que se observó el dominio en la organización. |
Investigación
Una sola entidad de investigación
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
identificación
|
id | string |
Identificador de la investigación |
|
Estado de investigación
|
state | string |
El estado de la investigación (por ejemplo, "Benigno", "Running", etc.). |
|
Detalles de estado
|
statusDetails | string |
Detalles sobre el estado |
|
Nombre del equipo
|
computerDnsName | string |
El nombre del equipo |
|
Id. de máquina
|
machineId | string |
El identificador de la máquina |
|
Hora de inicio
|
startTime | date-time |
Hora UTC a la que se inició la investigación |
|
Hora de finalización
|
endTime | date-time |
Hora UTC a la que se completó la investigación |
WebHookNotification
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Identificador de alerta
|
id | string | |
|
Id. de máquina
|
machineId | string |