Compartir a través de

Tipo de recurso de alerta

  • Se aplica a: Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business

Para obtener la experiencia completa disponible de alerts API en todos los productos de Microsoft Defenders, visite: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

Propiedades

Propiedad Tipo Descripción
Id. Cadena Identificador de alerta.
title String Título de la alerta.
description String Descripción de la alerta.
alertCreationTime DateTimeOffset que admite valores NULL Fecha y hora (en UTC) en la que se creó la alerta.
lastEventTime DateTimeOffset que admite valores NULL La última aparición del evento que desencadenó la alerta en el mismo dispositivo.
firstEventTime DateTimeOffset que admite valores NULL La primera aparición del evento que desencadenó la alerta en ese dispositivo.
lastUpdateTime DateTimeOffset que admite valores NULL Fecha y hora (en UTC) que la alerta se actualizó por última vez.
resolvedTime DateTimeOffset que admite valores NULL Fecha y hora en que se cambió el estado de la alerta a Resuelto.
incidentId Long que acepta valores NULL Identificador de incidente de la alerta.
investigationId Long que acepta valores NULL Identificador de investigación relacionado con la alerta.
investigationState Enumeración que acepta valores NULL Estado actual de la investigación. Los valores posibles son: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Cadena Propietario de la alerta.
rbacGroupName Cadena Nombre del grupo de dispositivos de control de acceso basado en rol.
mitreTechniques Cadena Identificador de técnica de Mitre Enterprise.
relatedUser Cadena Detalles del usuario relacionados con una alerta específica.
severity Enum Gravedad de la alerta. Los valores posibles son: UnSpecified, Informational, Low, Medium y High.
status Enum Especifica el estado actual de la alerta. Los valores posibles son: Unknown, New, InProgress y Resolved.
classification Enumeración que acepta valores NULL Especificación de la alerta. Los valores posibles son: TruePositive, Informational, expected activityy FalsePositive.
determinación Enumeración que acepta valores NULL Especifica la determinación de la alerta.

Los valores de determinación posibles para cada clasificación son:

  • Verdadero positivo: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) y Other (Other).
  • Actividad informativa y esperada:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia y Other (Otros).
  • Falso positivo:Not malicious (Limpiar): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Not enough data to validate (InsufficientData) y Other (Other).
    		•
    categoría Cadena Categoría de la alerta.
    detectionSource Cadena Origen de detección.
    threatFamilyName Cadena Familia de amenazas.
    threatName Cadena Nombre de la amenaza.
    machineId Cadena Identificador de una entidad de máquina asociada a la alerta.
    computerDnsName Cadena nombre completo de la máquina.
    aadTenantId Cadena El Microsoft Entra ID.
    detectorId Cadena Identificador del detector que desencadenó la alerta.
    comments Lista de comentarios de alerta El objeto Alert Comment contiene: cadena de comentario, cadena createdBy y fecha y hora de createTime.
    Evidencia Lista de pruebas de alerta Evidencia relacionada con la alerta. Vea el ejemplo siguiente.

    Nota:

    Alrededor del 29 de agosto de 2022, los valores de determinación de alertas admitidos anteriormente (Apt y SecurityPersonnel) estarán en desuso y ya no estarán disponibles a través de la API.

    Ejemplo de respuesta para obtener una única alerta:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609

    {
    "id": "da637472900382838869_1364969609",
    "incidentId": 1126093,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Low",
    "status": "New",
    "classification": null,
    "determination": null,
    "investigationState": "Queued",
    "detectionSource": "WindowsDefenderAtp",
    "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "Low-reputation arbitrary code executed by signed executable",
    "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
    "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
    "firstEventTime": "2021-01-26T20:31:32.9562661Z",
    "lastEventTime": "2021-01-26T20:31:33.0577322Z",
    "lastUpdateTime": "2021-01-26T20:33:59.2Z",
    "resolvedTime": null,
    "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
    "computerDnsName": "temp123.middleeast.corp.microsoft.com",
    "rbacGroupName": "A",
    "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
    "threatName": null,
    "mitreTechniques": [
        "T1064",
        "T1085",
        "T1220"
    ],
    "relatedUser": {
        "userName": "temp123",
        "domainName": "DOMAIN"
    },
    "comments": [
        {
            "comment": "test comment for docs",
            "createdBy": "secop123@contoso.com",
            "createdTime": "2021-01-26T01:00:37.8404534Z"
        }
    ],
    "evidence": [
        {
            "entityType": "User",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": null,
            "sha256": null,
            "fileName": null,
            "filePath": null,
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": "name",
            "domainName": "DOMAIN",
            "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
            "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
            "userPrincipalName": "temp123@microsoft.com",
            "detectionStatus": null
        },
        {
            "entityType": "Process",
            "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
            "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
            "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
            "fileName": "rundll32.exe",
            "filePath": "C:\\Windows\\SysWOW64",
            "processId": 3276,
            "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
            "processCreationTime": "2021-01-26T20:31:32.9581596Z",
            "parentProcessId": 8420,
            "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
            "parentProcessFileName": "rundll32.exe",
            "parentProcessFilePath": "C:\\Windows\\System32",
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        },
        {
            "entityType": "File",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
            "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
            "fileName": "suspicious.dll",
            "filePath": "c:\\temp",
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        }
    ]
}
    • Last updated on