次の方法で共有

アラート リソースの種類

  • 適用対象: Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business

すべての Microsoft Defenders 製品で使用可能なアラート API エクスペリエンスの詳細については、「 Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

プロパティ

プロパティ 説明
ID 文字列 アラート ID。
title String 警告タイトル。
説明 String 警告の説明。
alertCreationTime Null 許容 DateTimeOffset アラートが作成された日付と時刻 (UTC)。
lastEventTime Null 許容 DateTimeOffset 同じデバイスでアラートをトリガーしたイベントの最後の発生。
firstEventTime Null 許容 DateTimeOffset そのデバイスでアラートをトリガーしたイベントの最初の発生。
lastUpdateTime Null 許容 DateTimeOffset アラートが最後に更新された日付と時刻 (UTC)。
resolvedTime Null 許容 DateTimeOffset アラートの状態が 解決済みに変更された日時。
incidentId Null 許容長 アラートの インシデント ID。
investigationId Null 許容長 アラートに関連する 調査 ID。
investigationState Null 許容列挙型 調査の現在の状態。 使用可能な値は、不明終了正常に修復された、良性失敗部分修復済み実行中PendingApprovalPendingResourcePartiallyInvestigatedTerminatedBySystemQueuedInnerFailurePreexistingAlertUnsupportedAlertTypeです。SuppressedAlert
assignedTo String アラートの所有者。
rbacGroupName String ロールベースのアクセス制御デバイス グループ名。
mitreTechniques 文字列 Mitre Enterprise の手法 ID。
relatedUser 文字列 特定のアラートに関連するユーザーの詳細。
severity 列挙 アラートの重大度。 使用可能な値は、 UnSpecifiedInformationalLowMediumHigh です
status 列挙 アラートの現在の状態を指定します。 使用可能な値は、UnknownNewInProgress、Resolved です
classification Null 許容列挙型 アラートの仕様。 使用可能な値は、 TruePositiveInformational, expected activity、および FalsePositiveです。
決定 Null 許容列挙型 アラートの決定を指定します。

分類ごとに考えられる決定値は次のとおりです。

  • True positive: Multistage attack (MultiStagedAttack)、 Malicious user activity (MaliciousUserActivity)、 Compromised account (CompromisedUser) - パブリック API の列挙型名を適宜変更することを検討してください。それに応じて、 Malware (マルウェア)、 Phishing (フィッシング)、 Unwanted software (UnwantedSoftware)、 Other (Other)。
  • 情報提供、期待されるアクティビティ:Security test (SecurityTesting)、 Line-of-business application (LineOfBusinessApplication)、 Confirmed activity (ConfirmedUserActivity) - パブリック API の列挙名を適宜変更し、 Other (その他) を検討してください。
  • 誤検知:Not malicious (クリーン) - パブリック API の列挙名を適宜、 Not enough data to validate (InsufficientData)、 Other (その他) に変更することを検討してください。
    		•
    category 文字列 アラートのカテゴリ。
    detectionSource 文字列 検出ソース。
    threatFamilyName 文字列 脅威ファミリ。
    threatName 文字列 脅威名。
    MachineId String アラートに関連付けられている マシン エンティティの ID。
    computerDnsName String マシン の完全修飾名。
    aadTenantId 文字列 Microsoft Entra ID。
    detectorId 文字列 アラートをトリガーした検出機能の ID。
    comments アラート コメントの一覧 Alert Comment オブジェクトには、コメント文字列、createdBy 文字列、createTime 日付時刻が含まれます。
    証拠 アラートの証拠の一覧 アラートに関連する証拠。 次の例をご覧ください。

    注:

    2022 年 8 月 29 日頃、以前にサポートされていたアラート決定値 (AptSecurityPersonnel) は非推奨となり、API を介して使用できなくなります。

    1 つのアラートを取得するための応答の例:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609

    {
    "id": "da637472900382838869_1364969609",
    "incidentId": 1126093,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Low",
    "status": "New",
    "classification": null,
    "determination": null,
    "investigationState": "Queued",
    "detectionSource": "WindowsDefenderAtp",
    "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "Low-reputation arbitrary code executed by signed executable",
    "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
    "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
    "firstEventTime": "2021-01-26T20:31:32.9562661Z",
    "lastEventTime": "2021-01-26T20:31:33.0577322Z",
    "lastUpdateTime": "2021-01-26T20:33:59.2Z",
    "resolvedTime": null,
    "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
    "computerDnsName": "temp123.middleeast.corp.microsoft.com",
    "rbacGroupName": "A",
    "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
    "threatName": null,
    "mitreTechniques": [
        "T1064",
        "T1085",
        "T1220"
    ],
    "relatedUser": {
        "userName": "temp123",
        "domainName": "DOMAIN"
    },
    "comments": [
        {
            "comment": "test comment for docs",
            "createdBy": "secop123@contoso.com",
            "createdTime": "2021-01-26T01:00:37.8404534Z"
        }
    ],
    "evidence": [
        {
            "entityType": "User",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": null,
            "sha256": null,
            "fileName": null,
            "filePath": null,
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": "name",
            "domainName": "DOMAIN",
            "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
            "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
            "userPrincipalName": "temp123@microsoft.com",
            "detectionStatus": null
        },
        {
            "entityType": "Process",
            "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
            "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
            "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
            "fileName": "rundll32.exe",
            "filePath": "C:\\Windows\\SysWOW64",
            "processId": 3276,
            "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
            "processCreationTime": "2021-01-26T20:31:32.9581596Z",
            "parentProcessId": 8420,
            "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
            "parentProcessFileName": "rundll32.exe",
            "parentProcessFilePath": "C:\\Windows\\System32",
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        },
        {
            "entityType": "File",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
            "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
            "fileName": "suspicious.dll",
            "filePath": "c:\\temp",
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        }
    ]
}
    • Last updated on