Microsoft Defender ATP
Microsoft Defender ATP est une plateforme unifiée pour la protection préventive, la détection après violation, l’investigation automatisée et la réponse. En savoir plus ici : http://aka.ms/wdatp
Ce connecteur est disponible dans les produits et régions suivants :
| Service | classe | Régions |
|---|---|---|
| Copilot Studio | Premium | Toutes les régions Power Automate , à l’exception des éléments suivants : - China Cloud géré par 21Vianet |
| Applications logiques | Norme | Toutes les régions Logic Apps , à l’exception des suivantes : - Régions Azure Chine |
| Power Apps | Premium | Toutes les régions Power Apps , à l’exception des suivantes : - China Cloud géré par 21Vianet |
| Power Automate | Premium | Toutes les régions Power Automate , à l’exception des éléments suivants : - China Cloud géré par 21Vianet |
| Contact | |
|---|---|
| Nom | Microsoft |
| URL |
Microsoft LogicApps Support Prise en charge de Microsoft Power Automate Prise en charge de Microsoft Power Apps |
| Métadonnées du connecteur | |
|---|---|
| Éditeur | Microsoft |
| Site internet | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
Création d’une connexion
Le connecteur prend en charge les types d’authentification suivants :
| Par défaut | Paramètres de création de connexion. | Toutes les régions | Non partageable |
Faire défaut
Applicable : Toutes les régions
Paramètres de création de connexion.
Cette connexion n’est pas partageable. Si l’application power est partagée avec un autre utilisateur, un autre utilisateur est invité à créer une connexion explicitement.
Limitations
| Nom | Appels | Période de renouvellement |
|---|---|---|
| Appels d’API par connexion | 100 | 60 secondes |
Actions
| Actions - Annuler une seule action d’ordinateur |
Annuler une action d’ordinateur spécifique |
| Actions - Collecter le package d’investigation |
Collecter le package d’investigation à partir d’un ordinateur |
| Actions - Démarrer l’investigation automatisée sur une machine (préversion) |
Démarrer l’examen automatisé sur un ordinateur |
| Actions - Exécuter l’analyse antivirus |
Lancer l’analyse antivirus Windows Defender sur un ordinateur |
| Actions - Exécuter une réponse dynamique |
Exécuter des commandes d’API de réponse dynamique pour une seule machine |
| Actions - Isoler l’ordinateur |
Isoler un ordinateur du réseau |
| Actions - Lancer une investigation sur un ordinateur (à déprécier) |
Lancer une enquête sur un ordinateur |
| Actions - Machine unisolate |
Unisolate un ordinateur à partir d’un réseau |
| Actions - Obtenir la liste des actions de l’ordinateur |
Récupérer à partir de Windows Defender ATP les actions de machine les plus récentes |
| Actions - Obtenir la liste des enquêtes |
Récupérer de Microsoft Defender ATP les enquêtes les plus récentes |
| Actions - Obtenir l’URI de téléchargement du package d’investigation |
Obtenir un URI qui permet le téléchargement d’un package d’investigation |
| Actions - Obtenir l’URI de téléchargement du résultat de la commande de réponse dynamique |
Obtenir l’URI de téléchargement des résultats pour une commande de réponse dynamique terminée |
| Actions - Obtenir une action d’ordinateur unique |
Récupérer à partir de Windows Defender ATP une action d’ordinateur spécifique |
| Actions - Obtenir une seule investigation |
Récupérer à partir de Microsoft Defender ATP une investigation spécifique |
| Actions - Restreindre l’exécution de l’application |
Restreindre l’exécution de toutes les applications sur l’ordinateur, à l’exception d’un ensemble prédéfini |
| Actions - Supprimer la restriction d’exécution de l’application |
Activer l’exécution de n’importe quelle application sur l’ordinateur |
| Activités de correction - Obtenir la liste des machines associées (préversion) |
Récupérer à partir de Windows Defender ATP les machines associées à une activité de correction spécifique |
| Alertes - Créer une alerte |
Créer une alerte basée sur un événement spécifique |
| Alertes - Mettre à jour une alerte |
Mettre à jour une alerte Windows Defender ATP |
| Alertes - Obtenir la liste des alertes |
Récupérer à partir de Windows Defender ATP les alertes les plus récentes |
| Alertes - Obtenir une alerte unique |
Récupérer à partir de Windows Defender ATP une alerte spécifique |
| Domaines - Obtenir les statistiques pour le nom de domaine donné |
Récupérer des statistiques Windows Defender ATP liées à un nom de domaine donné |
| Fichiers - Obtenir les statistiques du fichier donné |
Récupérer des statistiques Windows Defender ATP pour le fichier donné dans un fichier donné par identificateur Sha1 ou Sha256 |
| Ips - Obtenir les statistiques de l’adresse IP donnée |
Récupérez des statistiques Windows Defender ATP relatives à une adresse IP donnée , donnée au format ipv4 ou ipv6. |
| Machines - Baliser l’ordinateur |
Ajouter ou supprimer une balise à/partir d’un ordinateur |
| Ordinateurs - Obtenir la liste des machines |
Récupérer à partir de Windows Defender ATP les machines les plus récentes |
| Ordinateurs - Obtenir un seul ordinateur |
Récupérer à partir de Windows Defender ATP un ordinateur spécifique |
|
Remediation |
Récupérer à partir de Windows Defender ATP une activité de correction spécifique |
| Repérage avancé |
Exécuter une requête personnalisée dans Windows Defender ATP |
| Tâches de correction - Obtenir la liste des activités de correction (préversion) |
Récupérer à partir de Windows Defender ATP les activités de remdiation |
Actions - Annuler une seule action d’ordinateur
Annuler une action d’ordinateur spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’action de l’ordinateur
|
Machine Action ID | True | string |
Identificateur de l’action de l’ordinateur à annuler |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’annulation de l’action de l’ordinateur |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Collecter le package d’investigation
Collecter le package d’investigation à partir d’un ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à partir duquel collecter l’enquête |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à la collection |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Démarrer l’investigation automatisée sur une machine (préversion)
Démarrer l’examen automatisé sur un ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à examiner |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’enquête |
Retours
Entité d’investigation unique
- Examen
- Investigation
Actions - Exécuter l’analyse antivirus
Lancer l’analyse antivirus Windows Defender sur un ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à analyser |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à la demande d’analyse |
|
Type d’analyse
|
ScanType | True | string |
Type d’analyse à effectuer. Les valeurs autorisées sont « Quick » ou « Full » |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Exécuter une réponse dynamique
Exécuter des commandes d’API de réponse dynamique pour une seule machine
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur sur lequel exécuter une session de réponse en direct |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’isolation |
|
Type de commande
|
type | True | string |
Type de la commande |
|
Clé de paramètre de commande
|
key | string |
Clé du paramètre de commande |
|
|
Valeur du paramètre de commande
|
value | string |
Valeur du paramètre de commande |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Isoler l’ordinateur
Isoler un ordinateur du réseau
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à isoler |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’isolation |
|
Type d’isolation
|
IsolationType | True | string |
Type de l’isolation. Les valeurs autorisées sont « Full » (pour l’isolation complète) ou « Sélectif » (pour restreindre uniquement l’ensemble limité d’applications à accéder au réseau) |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Lancer une investigation sur un ordinateur (à déprécier)
Lancer une enquête sur un ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à examiner |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’enquête |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID d’investigation
|
value | string |
ID de l’enquête |
Actions - Machine unisolate
Unisolate un ordinateur à partir d’un réseau
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de la machine à unisolate |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à l’unisolation |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Obtenir la liste des actions de l’ordinateur
Récupérer à partir de Windows Defender ATP les actions de machine les plus récentes
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Filtre les résultats
|
$filter | string |
Filtre les résultats à l’aide de la syntaxe OData. |
|
|
Sélectionne les propriétés
|
$select | string |
Sélectionne les propriétés à inclure dans la réponse, par défaut sur tous. |
|
|
Trie les résultats
|
$orderby | string |
Trie les résultats. |
|
|
Retourne les premiers résultats
|
$top | integer |
Retourne uniquement les n premiers résultats. |
|
|
Ignore les premiers résultats
|
$skip | integer |
Ignore les premiers n résultats. |
|
|
Inclut le nombre
|
$count | boolean |
Inclut le nombre de résultats correspondants dans la réponse. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre d’actions de l’ordinateur
|
@odata.count | integer |
Nombre d’actions d’ordinateur disponibles par cette requête |
|
Machine Actions
|
value | array of MachineAction |
Actions de l’ordinateur retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Actions - Obtenir la liste des enquêtes
Récupérer de Microsoft Defender ATP les enquêtes les plus récentes
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Filtre les résultats
|
$filter | string |
Filtre les résultats à l’aide de la syntaxe OData. |
|
|
Sélectionne les propriétés
|
$select | string |
Sélectionne les propriétés à inclure dans la réponse, par défaut sur tous. |
|
|
Trie les résultats
|
$orderby | string |
Trie les résultats. |
|
|
Retourne les premiers résultats
|
$top | integer |
Retourne uniquement les n premiers résultats. |
|
|
Ignore les premiers résultats
|
$skip | integer |
Ignore les premiers n résultats. |
|
|
Inclut le nombre
|
$count | boolean |
Inclut le nombre de résultats correspondants dans la réponse. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre d’enquêtes
|
@odata.count | integer |
Nombre d’enquêtes disponibles par cette requête |
|
Enquêtes
|
value | array of Investigation |
Les enquêtes retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Actions - Obtenir l’URI de téléchargement du package d’investigation
Obtenir un URI qui permet le téléchargement d’un package d’investigation
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID d’action
|
Machine action ID | True | string |
ID de la collection de packages d’investigation |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
URI SAP du package
|
value | string |
URI SAP du package d’investigation |
Actions - Obtenir l’URI de téléchargement du résultat de la commande de réponse dynamique
Obtenir l’URI de téléchargement des résultats pour une commande de réponse dynamique terminée
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’action de l’ordinateur
|
Machine Action ID | True | string |
Identificateur de l’action de l’ordinateur |
|
Index de la commande live response
|
Command Index | True | integer |
Index de la commande live response pour obtenir l’URI de téléchargement des résultats pour |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
URI de téléchargement
|
value | string |
URI de téléchargement de la commande live response |
Actions - Obtenir une action d’ordinateur unique
Récupérer à partir de Windows Defender ATP une action d’ordinateur spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’action de l’ordinateur
|
Machine Action ID | True | string |
Identificateur de l’action de l’ordinateur à récupérer |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Obtenir une seule investigation
Récupérer à partir de Microsoft Defender ATP une investigation spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’enquête
|
Investigation ID | True | string |
Identificateur de l’enquête à récupérer |
Retours
Entité d’investigation unique
- Examen
- Investigation
Actions - Restreindre l’exécution de l’application
Restreindre l’exécution de toutes les applications sur l’ordinateur, à l’exception d’un ensemble prédéfini
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur à restreindre |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à la restriction |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Actions - Supprimer la restriction d’exécution de l’application
Activer l’exécution de n’importe quelle application sur l’ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de la machine à annuler |
|
Commentaire
|
Comment | True | string |
Commentaire à associer à la suppression de restriction |
Retours
Entité d’action d’un ordinateur unique
- Action de l’ordinateur
- MachineAction
Activités de correction - Obtenir la liste des machines associées (préversion)
Récupérer à partir de Windows Defender ATP les machines associées à une activité de correction spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’activité de correction
|
RemediationID | True | string |
Identificateur de l’activité de correction à récupérer |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre de machines
|
@odata.count | integer |
Nombre d’ordinateurs disponibles par cette requête |
|
Machines
|
value | array of Machine |
Les machines retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Alertes - Créer une alerte
Créer une alerte basée sur un événement spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
machineId | True | string |
ID de l’ordinateur sur lequel l’événement a été identifié |
|
ID du rapport
|
reportId | True | integer |
ID de rapport de l’événement |
|
Heure de l’événement
|
eventTime | True | string |
Heure de l’événement sous forme de chaîne, par exemple 2018-08-03T16:45:21.7115183Z |
|
Niveau de gravité
|
severity | True | string |
Gravité de l’alerte. |
|
Catégorie
|
category | True | string |
Catégorie de l’alerte |
|
Titre
|
title | True | string |
Titre de l’alerte |
|
Descriptif
|
description | True | string |
Description de l’alerte |
|
Action recommandée
|
recommendedAction | True | string |
Action recommandée pour l’alerte |
Retours
Entité d’alerte unique
- Alerte
- Alert
Alertes - Mettre à jour une alerte
Mettre à jour une alerte Windows Defender ATP
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’alerte
|
Alert ID | True | string |
Identificateur de l’alerte à mettre à jour |
|
Statut
|
status | string |
Statut de l’alerte. L’un des éléments « Nouveau », « InProgress » et « Résolu » |
|
|
Affectée à
|
assignedTo | string |
Personne à attribuer l’alerte à |
|
|
Classification
|
classification | string |
Classification de l’alerte. L’un des « Inconnus », « FalsePositive », « TruePositive » |
|
|
Détermination
|
determination | string |
Détermination de l’alerte. Un des éléments « NotAvailable », « Apt », « Malware », « SecurityPersonnel », « SecurityTesting », « UnwantedSoftware », « Other » |
Retours
Entité d’alerte unique
- Alerte
- Alert
Alertes - Obtenir la liste des alertes
Récupérer à partir de Windows Defender ATP les alertes les plus récentes
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Développe les entités
|
$expand | string |
Développe les entités associées en ligne. |
|
|
Filtre les résultats
|
$filter | string |
Filtre les résultats à l’aide de la syntaxe OData. |
|
|
Sélectionne les propriétés
|
$select | string |
Sélectionne les propriétés à inclure dans la réponse, par défaut sur tous. |
|
|
Trie les résultats
|
$orderby | string |
Trie les résultats. |
|
|
Retourne les premiers résultats
|
$top | integer |
Retourne uniquement les n premiers résultats. |
|
|
Ignore les premiers résultats
|
$skip | integer |
Ignore les premiers n résultats. |
|
|
Inclut le nombre
|
$count | boolean |
Inclut le nombre de résultats correspondants dans la réponse. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre d’alertes
|
@odata.count | integer |
Nombre d’alertes disponibles par cette requête |
|
Alerts
|
value | array of Alert |
Alertes retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Alertes - Obtenir une alerte unique
Récupérer à partir de Windows Defender ATP une alerte spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’alerte
|
Alert ID | True | string |
Identificateur de l’alerte à récupérer |
Retours
Entité d’alerte unique
- Alerte
- Alert
Domaines - Obtenir les statistiques pour le nom de domaine donné
Récupérer des statistiques Windows Defender ATP liées à un nom de domaine donné
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Nom de domaine
|
Domain Name | True | string |
Nom de domaine |
|
La période de regard en heures à examiner, la valeur par défaut est de 24 heures.
|
lookBackHours | integer |
La période de regard en heures à examiner, la valeur par défaut est de 24 heures. |
Retours
Entité de statistiques d’adresses IP unique
- Statistiques de domaine
- DomainStats
Fichiers - Obtenir les statistiques du fichier donné
Récupérer des statistiques Windows Defender ATP pour le fichier donné dans un fichier donné par identificateur Sha1 ou Sha256
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Identificateur de fichier - Sha1 ou Sha256
|
File ID | True | string |
Identificateur de fichier - Sha1 ou Sha256 |
|
La période de regard en heures à examiner, la valeur par défaut est de 24 heures.
|
lookBackHours | integer |
La période de regard en heures à examiner, la valeur par défaut est de 24 heures. |
Retours
Entité de statistiques de fichier unique
- Statistiques de fichier
- FileStats
Ips - Obtenir les statistiques de l’adresse IP donnée
Récupérez des statistiques Windows Defender ATP relatives à une adresse IP donnée , donnée au format ipv4 ou ipv6.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Adresse IP
|
Ip Address | True | string |
Adresse IP |
|
La période de regard en heures à examiner, la valeur par défaut est de 24 heures.
|
lookBackHours | integer |
La période de regard en heures à examiner, la valeur par défaut est de 24 heures. |
Retours
Entité de statistiques d’adresses IP unique
- Statistiques ip
- IpStats
Machines - Baliser l’ordinateur
Ajouter ou supprimer une balise à/partir d’un ordinateur
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
ID de l’ordinateur auquel la balise doit être ajoutée ou supprimée |
|
Valeur
|
Value | True | string |
Balise à ajouter ou supprimer |
|
Action
|
Action | True | string |
L’action à accomplir. La valeur doit être l’une des valeurs « Add » (pour ajouter une balise) ou « Remove » (pour supprimer une balise) |
Retours
Une seule entité d’ordinateur
- Machine
- Machine
Ordinateurs - Obtenir la liste des machines
Récupérer à partir de Windows Defender ATP les machines les plus récentes
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Filtre les résultats
|
$filter | string |
Filtre les résultats à l’aide de la syntaxe OData. |
|
|
Sélectionne les propriétés
|
$select | string |
Sélectionne les propriétés à inclure dans la réponse, par défaut sur tous. |
|
|
Trie les résultats
|
$orderby | string |
Trie les résultats. |
|
|
Retourne les premiers résultats
|
$top | integer |
Retourne uniquement les n premiers résultats. |
|
|
Ignore les premiers résultats
|
$skip | integer |
Ignore les premiers n résultats. |
|
|
Inclut le nombre
|
$count | boolean |
Inclut le nombre de résultats correspondants dans la réponse. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre de machines
|
@odata.count | integer |
Nombre d’ordinateurs disponibles par cette requête |
|
Machines
|
value | array of Machine |
Les machines retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Ordinateurs - Obtenir un seul ordinateur
Récupérer à partir de Windows Defender ATP un ordinateur spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’ordinateur
|
Machine ID | True | string |
Identificateur de l’ordinateur à récupérer |
Retours
Une seule entité d’ordinateur
- Machine
- Machine
RemediationActivities - Obtenir une activité de correction unique (préversion)
Récupérer à partir de Windows Defender ATP une activité de correction spécifique
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de l’activité de correction
|
RemediationID | True | string |
Identificateur de l’activité de correction à récupérer |
Retours
Entité d’activité de correction unique
- Activité de correction
- RemediationActivity
Repérage avancé
Exécuter une requête personnalisée dans Windows Defender ATP
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Query
|
Query | True | string |
Requête à exécuter |
Retours
Tâches de correction - Obtenir la liste des activités de correction (préversion)
Récupérer à partir de Windows Defender ATP les activités de remdiation
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Filtre les résultats
|
$filter | string |
Filtre les résultats à l’aide de la syntaxe OData. |
|
|
Sélectionne les propriétés
|
$select | string |
Sélectionne les propriétés à inclure dans la réponse, par défaut sur tous. |
|
|
Trie les résultats
|
$orderby | string |
Trie les résultats. |
|
|
Retourne les premiers résultats
|
$top | integer |
Retourne uniquement les n premiers résultats. |
|
|
Ignore les premiers résultats
|
$skip | integer |
Ignore les premiers n résultats. |
|
|
Inclut le nombre
|
$count | boolean |
Inclut le nombre de résultats correspondants dans la réponse. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre d’activités de correction
|
@odata.count | integer |
Nombre d’activités de correction par cette requête |
|
Activités de correction
|
value | array of RemediationActivity |
Activités de correction retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Déclencheurs
| Déclencheurs - Déclencher quand une nouvelle alerte WDATP se produit |
S’abonner aux alertes Windows Defender ATP |
| Déclencheurs lorsqu’une nouvelle activité de correction est créée (préversion) |
Déclencheurs lors de la création d’une nouvelle activité de correction |
Déclencheurs - Déclencher quand une nouvelle alerte WDATP se produit
Déclencheurs lorsqu’une nouvelle activité de correction est créée (préversion)
Déclencheurs lors de la création d’une nouvelle activité de correction
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre d’activités de correction
|
@odata.count | integer |
Nombre d’activités de correction par cette requête |
|
Activités de correction
|
value | array of RemediationActivity |
Activités de correction retournées |
|
Lien suivant
|
@odata.nextLink | string |
Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés |
Définitions
Alerte
Entité d’alerte unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID de l’alerte
|
id | string |
Identificateur d’alerte |
|
ID de l’incident
|
incidentId | integer |
ID de l’incident |
|
ID d’investigation
|
investigationId | integer |
ID de l’enquête |
|
Gravité de l’alerte
|
severity | string |
Gravité de l’alerte |
|
Statut
|
status | string |
État de l’alerte |
|
Descriptif
|
description | string |
Description de l’alerte |
|
Heure de création d’alerte
|
alertCreationTime | date-time |
Heure à laquelle l’alerte a été créée |
|
Catégorie
|
category | string |
Catégorie d’alerte |
|
Titre
|
title | string |
Titre de l’alerte |
|
Nom de la famille de menaces
|
threatFamilyName | string |
Nom de la famille de menaces |
|
Source de détection
|
detectionSource | string |
Source de détection |
|
Classification
|
classification | string |
Classification de l’alerte |
|
Détermination
|
determination | string |
Détermination de l’alerte |
|
Affectée à
|
assignedTo | string |
Personne à laquelle l’alerte a été attribuée |
|
Heure résolue
|
resolvedTime | string |
Heure à laquelle l’alerte a été résolue |
|
Heure de la dernière événement
|
lastEventTime | date-time |
Heure du dernier événement lié à l’alerte |
|
Première heure de l’événement
|
firstEventTime | date-time |
Heure du premier événement lié à l’alerte |
|
ID de l’ordinateur
|
machineId | string |
Identificateur de l’ordinateur lié à l’alerte |
Machine
Une seule entité d’ordinateur
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID de l’ordinateur
|
id | string |
Identificateur de l’ordinateur |
|
Nom de l'ordinateur
|
computerDnsName | string |
Nom de l’ordinateur |
|
Première vue
|
firstSeen | date-time |
Heure du premier événement reçu par l’ordinateur |
|
Vu pour la dernière fois
|
lastSeen | date-time |
Heure du dernier événement reçu par l’ordinateur |
|
Plateforme du système d’exploitation
|
osPlatform | string |
Plateforme de système d’exploitation de la machine |
|
Version du système d’exploitation
|
osVersion | string |
Version du système d’exploitation de l’ordinateur |
|
Nom du produit système
|
systemProductName | date-time |
systemProductName |
|
Dernière adresse IP
|
lastIpAddress | string |
Dernière adresse IP de l’ordinateur |
|
Dernière adresse IP externe
|
lastExternalIpAddress | string |
Dernière adresse IP externe de l’ordinateur |
|
Version de l’agent
|
agentVersion | string |
Version de l’agent |
|
Build du système d’exploitation
|
osBuild | integer |
Build du système d’exploitation de l’ordinateur |
|
Status d’intégrité
|
healthStatus | string |
État d’intégrité de l’ordinateur |
|
L’ID Microsoft Entra est joint
|
isAadJoined | boolean |
Indicateur indiquant si la machine est jointe à l’ID Microsoft Entra |
|
Étiquettes d’ordinateur
|
machineTags | array of string |
Balises associées à la machine |
|
ID de groupe RBAC
|
rbacGroupId | integer |
ID du groupe RBAC auquel appartient la machine |
|
Nom du groupe RBAC
|
rbacGroupName | string |
Nom du groupe RBAC auquel appartient la machine |
|
Score de risque
|
riskScore | string |
Score indiquant la quantité de la machine à risque |
|
ID d’appareil Microsoft Entra ID
|
aadDeviceId | string |
aadDeviceId |
RemediationActivity
Entité d’activité de correction unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID d’activité de correction
|
id | string |
Identificateur d’activité de correction |
|
Titre de l’activité de correction
|
title | string |
Titre de l’activit de correction |
|
Créé le
|
createdOn | date-time |
Heure de création de l’activité de correction |
|
État de la dernière modification sur
|
statusLastModifiedOn | date-time |
Heure de la dernière modification de l’état |
|
ID du créateur
|
requesterId | string |
ID du créateur de l’activité de correction |
|
E-mail créateur
|
requesterEmail | string |
Adresse e-mail du créateur de l’activité de correction |
|
Statut
|
status | string |
l’état de l’activité de correction |
|
Descriptif
|
description | string |
Description de l’activité de correction |
|
Composant associé
|
relatedComponent | string |
Composant associé à l’activité de correction |
|
Appareils cibles
|
targetDevices | integer |
Nombre de machines cibles d’activité de correction |
|
Noms de groupes Rbac
|
rbacGroupNames | array of string |
Noms de groupe rbac associés à l’activité de correction |
|
Appareils fixes
|
fixedDevices | integer |
Nombre de machines fixes de l’activité de correction |
|
notes de créateur
|
requesterNotes | string |
Notes du créateur de l’activité de remeidation |
|
Échéance
|
dueOn | date-time |
Délai d’échéance de l’activité de correction |
|
Catégorie
|
category | string |
catégorie d’activité de correction |
|
Type de correction de l’impact sur la productivité
|
productivityImpactRemediationType | string |
le type d’impact sur la productivité de la correction |
|
Priority
|
priority | string |
Priorité de l’activité de correction |
|
Méthode d’achèvement
|
completionMethod | string |
Méthode d’achèvement de l’activité de correction |
|
ID completer
|
completerId | string |
ID de l’objet completer de l’activité de correction |
|
E-mail completer
|
completerEmail | string |
Adresse e-mail de l’activité de correction |
|
ID de configuration de sécurité
|
scid | string |
ID de configuration de la sécurité de l’activité de correction |
|
Type
|
type | string |
Type d’activité de correction |
|
ID de produit
|
productId | string |
ID de produit |
|
ID du fournisseur
|
vendorId | string |
ID du fournisseur |
|
ID de nom
|
nameId | string |
ID de nom |
|
Version recommandée
|
recommendedVersion | string |
Version recommandée |
|
Fournisseur recommandé
|
recommendedVendor | string |
Fournisseur recommandé |
|
Programme recommandé
|
recommendedProgram | string |
Programme recommandé |
|
Informations de référence sur les recommandations
|
RecommendationReference | string |
Informations de référence sur les recommandations |
MachineAction
Entité d’action d’un ordinateur unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID d’action
|
id | string |
ID de l’action de l’ordinateur |
|
Type d'action
|
type | string |
Type de l’action (par exemple , 'Isolate', 'CollectInvestigationPackage', ...) |
|
Demandeur
|
requestor | string |
Personne qui a demandé l’action de l’ordinateur |
|
Commentaire
|
requestorComment | string |
Commentaire associé à l’action de l’ordinateur |
|
Statut
|
status | string |
État de l’action de l’ordinateur (par exemple, « InProgress ») |
|
ID
|
machineId | string |
ID de l’ordinateur sur lequel l’action a été effectuée |
|
Date de création
|
creationDateTimeUtc | date-time |
Heure UTC à laquelle l’action a été demandée |
|
Heure de la dernière mise à jour
|
lastUpdateDateTimeUtc | date-time |
Heure UTC de la dernière mise à jour de l’action |
|
Commands
|
commands | array of LiveResponseCommandStatus |
Commandes d’action de l’ordinateur de réponse dynamique |
LiveResponseCommandStatus
Une seule commande dans l’entité d’action de machine Live Response
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Index de commande
|
index | integer |
Index de la commande |
|
Heure de début de l’exécution de la commande
|
startTime | date-time |
Heure de début de l’exécution de commande UTC |
|
Heure de fin de l’exécution de la commande
|
endTime | date-time |
Heure de fin de l’exécution de commande UTC |
|
État de la commande
|
commandStatus | string |
État de l’exécution de la commande (par exemple, « Terminé ») |
|
Erreurs de commande
|
errors | array of string |
Liste des erreurs d’exécution de commande. Si aucune erreur n’a été signalée, il s’agit d’une liste vide. |
|
commande
|
command | LiveResponseCommand |
LiveResponseCommand
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Type de commande
|
type | string |
Type de la commande |
|
Paramètres de commande
|
params | array of object |
Liste des paramètres de commande. |
|
Clé de paramètre de commande
|
params.key | string |
Clé du paramètre de commande |
|
Valeur du paramètre de commande
|
params.value | string |
Valeur du paramètre de commande |
FileStats
Entité de statistiques de fichier unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Sha1
|
sha1 | string |
Sha1 du fichier |
|
Prévalence mondiale
|
globallyPrevalence | integer |
Prévalence globale du fichier. |
|
Premier observé globalement
|
globalFirstObserved | date-time |
La première fois que le fichier a été observé globalement. |
|
Dernière observation à l’échelle mondiale
|
globalLastObserved | date-time |
Dernière fois que le fichier a été observé. |
|
Prévalence de l’organisation
|
organizationPrevalence | integer |
Prévalence du fichier au sein de l’organisation |
|
Organisation première observée
|
orgFirstSeen | date-time |
La première fois que le fichier a été observé dans l’organisation. |
|
Dernière observation de l’organisation
|
orgLastSeen | date-time |
La dernière fois que le fichier a été observé dans l’organisation. |
|
Noms de fichiers principaux
|
topFileNames | array of string |
Noms de fichiers présentés par ce fichier. |
IpStats
Entité de statistiques d’adresses IP unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Adresse IP
|
ipAddress | string |
Adresse IP |
|
Prévalence de l’organisation
|
organizationPrevalence | integer |
Prévalence de l’adresse IP au sein de l’organisation |
|
Organisation première observée
|
orgFirstSeen | date-time |
La première fois que l’adresse IP a été observée dans l’organisation. |
|
Dernière observation de l’organisation
|
orgLastSeen | date-time |
La dernière fois que l’adresse IP a été observée dans l’organisation. |
DomainStats
Entité de statistiques d’adresses IP unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Host
|
host | string |
Hôte de domaine. |
|
Prévalence de l’organisation
|
organizationPrevalence | integer |
Prévalence du domaine au sein de l’organisation |
|
Organisation première observée
|
orgFirstSeen | date-time |
La première fois que le domaine a été observé dans l’organisation. |
|
Dernière observation de l’organisation
|
orgLastSeen | date-time |
La dernière fois que le domaine a été observé dans l’organisation. |
Examen
Entité d’investigation unique
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID
|
id | string |
ID de l’enquête |
|
État de l’enquête
|
state | string |
État de l’enquête (par exemple, « Bénin », « En cours d’exécution », etc.) |
|
Détails de l’état
|
statusDetails | string |
Détails sur l’état |
|
Nom de l'ordinateur
|
computerDnsName | string |
Nom de l’ordinateur |
|
ID de l’ordinateur
|
machineId | string |
ID de l’ordinateur |
|
Heure de début
|
startTime | date-time |
Heure UTC à laquelle l’enquête a été lancée |
|
Heure de fin
|
endTime | date-time |
Heure UTC à laquelle l’enquête a été effectuée |
WebHookNotification
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ID d’alerte
|
id | string | |
|
ID de l’ordinateur
|
machineId | string |