Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour obtenir l’expérience complète de l’API Alertes sur tous les produits Microsoft Defenders, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.
Propriétés
| Propriété | Type | Description |
|---|---|---|
| ID | String | ID d’alerte. |
| title | String | Titre de l’alerte. |
| description | String | Description de l’alerte. |
| alertCreationTime | Nullable DateTimeOffset | Date et heure (UTC) de la création de l’alerte. |
| lastEventTime | Nullable DateTimeOffset | Dernière occurrence de l’événement qui a déclenché l’alerte sur le même appareil. |
| firstEventTime | Nullable DateTimeOffset | Première occurrence de l’événement qui a déclenché l’alerte sur cet appareil. |
| lastUpdateTime | Nullable DateTimeOffset | Date et heure (utc) de la dernière mise à jour de l’alerte. |
| resolvedTime | Nullable DateTimeOffset | Date et heure auxquelles le status de l’alerte a été remplacé par Résolu. |
| incidentId | Nullable Long | ID d’incident de l’alerte. |
| investigationId | Nullable Long | ID d’investigation lié à l’alerte. |
| investigationState | Énumération nullable | État actuel de l’enquête. Les valeurs possibles sont : Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartialRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| assignedTo | String | Propriétaire de l’alerte. |
| rbacGroupName | String | Nom du groupe d’appareils de contrôle d’accès en fonction du rôle. |
| mitreTechniques | String | ID technique Mitre Enterprise. |
| relatedUser | String | Détails de l’utilisateur lié à une alerte spécifique. |
| Sévérité | Énum | Gravité de l’alerte. Les valeurs possibles sont : UnSpecified, Informational, Low, Medium et High. |
| status | Énum | Spécifie la status actuelle de l’alerte. Les valeurs possibles sont : Unknown, New, InProgress et Resolved. |
| classification | Énumération nullable | Spécification de l’alerte. Les valeurs possibles sont , TruePositiveInformational, expected activityet FalsePositive. |
| détermination | Énumération nullable | Spécifie la détermination de l’alerte. Les valeurs de détermination possibles pour chaque classification sont les suivantes : Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Malware (Programme malveillant), Phishing (Hameçonnage), Unwanted software (UnwantedSoftware) et Other (Autre). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmUserActivity) : envisagez de modifier le nom d’énumération dans l’API publique en conséquence, et Other (Autre). Not malicious (Nettoyer) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Not enough data to validate (InsufficientData) et Other (Autre). |
| category | String | Catégorie de l’alerte. |
| detectionSource | String | Source de détection. |
| threatFamilyName | String | Famille de menaces. |
| threatName | String | Nom de la menace. |
| machineId | String | ID d’une entité de machine associée à l’alerte. |
| computerDnsName | String | nom complet de l’ordinateur. |
| aadTenantId | String | Microsoft Entra ID. |
| detectorId | String | ID du détecteur qui a déclenché l’alerte. |
| commentaires | Liste des commentaires d’alerte | L’objet Comment d’alerte contient : chaîne de commentaire, chaîne createdBy et date-heure createTime. |
| Évidence | Liste des preuves d’alerte | Preuve liée à l’alerte. Voir l’exemple ci-dessous. |
Remarque
Vers le 29 août 2022, les valeurs de détermination d’alerte précédemment prises en charge (Apt et SecurityPersonnel) seront déconseillées et ne seront plus disponibles via l’API.
Exemple de réponse pour obtenir une alerte unique :
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}