Microsoft Defender ATP
Microsoft Defender ATP to ujednolicona platforma do ochrony prewencyjnej, wykrywania po naruszeniu zabezpieczeń, zautomatyzowanego badania i reagowania. Przeczytaj więcej na ten temat tutaj: http://aka.ms/wdatp
Ten łącznik jest dostępny w następujących produktach i regionach:
| Usługa | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Wszystkie regiony usługi Power Automate z wyjątkiem następujących: - China Cloud obsługiwane przez firmę 21Vianet |
| Logic Apps | Standard | Wszystkie regiony usługi Logic Apps z wyjątkiem następujących: — Regiony platformy Azure (Chiny) |
| Power Apps | Premium | Wszystkie regiony usługi Power Apps z wyjątkiem następujących: - China Cloud obsługiwane przez firmę 21Vianet |
| Power Automate | Premium | Wszystkie regiony usługi Power Automate z wyjątkiem następujących: - China Cloud obsługiwane przez firmę 21Vianet |
| Kontakt | |
|---|---|
| Name | Microsoft |
| adres URL |
Obsługa usługi Microsoft LogicApps Pomoc techniczna usługi Microsoft Power Automate Obsługa usługi Microsoft Power Apps |
| Metadane łącznika | |
|---|---|
| Publisher | Microsoft |
| Witryna internetowa | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
Tworzenie połączenia
Łącznik obsługuje następujące typy uwierzytelniania:
| Wartość domyślna | Parametry tworzenia połączenia. | Wszystkie regiony | Nie można udostępniać |
Domyślny
Dotyczy: wszystkie regiony
Parametry tworzenia połączenia.
Nie jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power zostanie udostępniona innemu użytkownikowi, zostanie wyświetlony monit o jawne utworzenie nowego połączenia.
Limity ograniczania
| Nazwa | Wywołania | Okres odnowienia |
|---|---|---|
| Wywołania interfejsu API na połączenie | 100 | 60 sekund |
Akcje
| Akcje — anulowanie pojedynczej akcji maszyny |
Anulowanie określonej akcji maszyny |
| Akcje — inicjowanie badania na maszynie (aby zostać wycofane) |
Inicjowanie badania na maszynie |
| Akcje — izolowanie maszyny |
Izolowanie maszyny z sieci |
| Akcje — ograniczanie wykonywania aplikacji |
Ograniczanie wykonywania wszystkich aplikacji na maszynie z wyjątkiem wstępnie zdefiniowanego zestawu |
| Akcje — pobieranie listy akcji maszyny |
Pobieranie z usługi Windows Defender ATP najnowszych akcji komputera |
| Akcje — unisolate machine |
Unisolate a machine from network (Unisolate a machine from network) |
| Akcje — uruchamianie odpowiedzi na żywo |
Uruchamianie poleceń interfejsu API odpowiedzi na żywo dla pojedynczej maszyny |
| Akcje — uruchamianie skanowania antywirusowego |
Inicjowanie skanowania programu antywirusowego Windows Defender na maszynie |
| Akcje — uruchamianie zautomatyzowanego badania na maszynie (wersja zapoznawcza) |
Uruchamianie zautomatyzowanego badania na maszynie |
| Akcje — usuwanie ograniczenia wykonywania aplikacji |
Włączanie wykonywania dowolnej aplikacji na maszynie |
| Akcje — uzyskiwanie akcji pojedynczej maszyny |
Pobieranie z usługi Windows Defender ATP określonej akcji komputera |
| Akcje — uzyskiwanie identyfikatora URI pobierania pakietu badania |
Uzyskiwanie identyfikatora URI umożliwiającego pobieranie pakietu badania |
| Akcje — uzyskiwanie identyfikatora URI pobierania wyniku polecenia odpowiedzi na żywo |
Pobieranie identyfikatora URI pobierania wyników dla ukończonego polecenia odpowiedzi na żywo |
| Akcje — uzyskiwanie listy badań |
Pobieranie z usługi Microsoft Defender ATP najnowszych badań |
| Akcje — uzyskiwanie pojedynczego badania |
Pobieranie z usługi Microsoft Defender ATP określonego badania |
| Akcje — zbieranie pakietu badania |
Zbieranie pakietu badania z maszyny |
| Alerty — aktualizowanie alertu |
Aktualizowanie alertu usługi Windows Defender ATP |
| Alerty — pobieranie listy alertów |
Pobieranie z usługi Windows Defender ATP najnowszych alertów |
| Alerty — tworzenie alertu |
Tworzenie alertu na podstawie określonego zdarzenia |
| Alerty — uzyskiwanie pojedynczego alertu |
Pobieranie z usługi Windows Defender ATP określonego alertu |
| Domeny — pobieranie statystyk dla podanej nazwy domeny |
Pobieranie ze statystyk usługi Windows Defender ATP związanych z daną nazwą domeny |
| Działania korygowania — pobieranie listy powiązanych maszyn (wersja zapoznawcza) |
Pobieranie z usługi Windows Defender ATP powiązanych maszyn do określonego działania korygowania |
| Ips — pobieranie statystyk dla danego adresu IP |
Pobierz dane ze statystyk usługi Windows Defender ATP związanych z danym adresem IP — podane w formacie ipv4 lub ipv6. |
| Maszyny — maszyna tagowa |
Dodawanie lub usuwanie tagu do/z maszyny |
| Maszyny — pobieranie listy maszyn |
Pobieranie z usługi Windows Defender ATP najnowszych maszyn |
| Maszyny — uzyskiwanie pojedynczej maszyny |
Pobieranie z usługi Windows Defender ATP określonej maszyny |
| Pliki — pobieranie statystyk dla danego pliku |
Pobieranie ze statystyk usługi Windows Defender ATP dla danego pliku do danego pliku według identyfikatora Sha1 lub Sha256 |
|
Remediation |
Pobieranie z usługi Windows Defender ATP określonego działania korygacyjnego |
| Zaawansowane wyszukiwanie zagrożeń |
Uruchamianie zapytania niestandardowego w usłudze Windows Defender ATP |
| Zadania korygowania — uzyskiwanie listy działań korygowania (wersja zapoznawcza) |
Pobieranie z usługi Windows Defender ATP działań remdiation |
Akcje — anulowanie pojedynczej akcji maszyny
Anulowanie określonej akcji maszyny
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator akcji maszyny
|
Machine Action ID | True | string |
Identyfikator akcji maszyny do anulowania |
|
Comment
|
Comment | True | string |
Komentarz do skojarzenia z anulowaniem akcji maszyny |
Zwraca
Jednostka akcji pojedynczej maszyny
- Akcja komputera
- MachineAction
Akcje — inicjowanie badania na maszynie (aby zostać wycofane)
Inicjowanie badania na maszynie
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator komputera
|
Machine ID | True | string |
Identyfikator maszyny do zbadania |
|
Comment
|
Comment | True | string |
Komentarz do skojarzenia z dochodzeniem |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Identyfikator badania
|
value | string |
Identyfikator badania |
Akcje — izolowanie maszyny
Izolowanie maszyny z sieci
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator komputera
|
Machine ID | True | string |
Identyfikator maszyny do izolowania |
|
Comment
|
Comment | True | string |
Komentarz do skojarzenia z izolacją |
|
Typ izolacji
|
IsolationType | True | string |
Typ izolacji. Dozwolone wartości to "Full" (w przypadku pełnej izolacji) lub "Selektywne" (aby ograniczyć dostęp do sieci tylko ograniczony zestaw aplikacji) |
Zwraca
Jednostka akcji pojedynczej maszyny
- Akcja komputera
- MachineAction
Akcje — ograniczanie wykonywania aplikacji
Ograniczanie wykonywania wszystkich aplikacji na maszynie z wyjątkiem wstępnie zdefiniowanego zestawu
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator komputera
|
Machine ID | True | string |
Identyfikator maszyny do ograniczenia |
|
Comment
|
Comment | True | string |
Komentarz do skojarzenia z ograniczeniem |
Zwraca
Jednostka akcji pojedynczej maszyny
- Akcja komputera
- MachineAction
Akcje — pobieranie listy akcji maszyny
Pobieranie z usługi Windows Defender ATP najnowszych akcji komputera
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Filtruje wyniki
|
$filter | string |
Filtruje wyniki przy użyciu składni OData. |
|
|
Wybiera właściwości
|
$select | string |
Wybiera właściwości, które mają być uwzględnione w odpowiedzi, powoduje ustawienie domyślne dla wszystkich. |
|
|
Sortuje wyniki
|
$orderby | string |
Sortuje wyniki. |
|
|
Zwraca pierwsze wyniki
|
$top | integer |
Zwraca tylko pierwsze n wyników. |
|
|
Pomija pierwsze wyniki
|
$skip | integer |
Pomija pierwsze n wyników. |
|
|
Uwzględnia liczbę
|
$count | boolean |
Zawiera liczbę pasujących wyników w odpowiedzi. |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Liczba akcji maszyny
|
@odata.count | integer |
Liczba dostępnych akcji maszyny przez to zapytanie |
|
Akcje maszyny
|
value | array of MachineAction |
Zwrócone akcje maszyny |
|
Następny link
|
@odata.nextLink | string |
Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano |
Akcje — unisolate machine
Unisolate a machine from network (Unisolate a machine from network)
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator komputera
|
Machine ID | True | string |
Identyfikator maszyny, która ma być jednosolate |
|
Comment
|
Comment | True | string |
Komentarz do skojarzenia z unisolation |
Zwraca
Jednostka akcji pojedynczej maszyny
- Akcja komputera
- MachineAction
Akcje — uruchamianie odpowiedzi na żywo
Uruchamianie poleceń interfejsu API odpowiedzi na żywo dla pojedynczej maszyny
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator komputera
|
Machine ID | True | string |
Identyfikator maszyny do uruchamiania sesji odpowiedzi na żywo na |
|
Comment
|
Comment | True | string |
Komentarz do skojarzenia z izolacją |
|
Typ polecenia
|
type | True | string |
Typ polecenia |
|
Klucz parametru polecenia
|
key | string |
Klucz parametru polecenia |
|
|
Wartość parametru polecenia
|
value | string |
Wartość parametru polecenia |
Zwraca
Jednostka akcji pojedynczej maszyny
- Akcja komputera
- MachineAction
Akcje — uruchamianie skanowania antywirusowego
Inicjowanie skanowania programu antywirusowego Windows Defender na maszynie
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator komputera
|
Machine ID | True | string |
Identyfikator maszyny do skanowania |
|
Comment
|
Comment | True | string |
Komentarz do skojarzenia z żądaniem skanowania |
|
Typ skanowania
|
ScanType | True | string |
Typ skanowania do wykonania. Dozwolone wartości to "Quick" lub "Full" |
Zwraca
Jednostka akcji pojedynczej maszyny
- Akcja komputera
- MachineAction
Akcje — uruchamianie zautomatyzowanego badania na maszynie (wersja zapoznawcza)
Uruchamianie zautomatyzowanego badania na maszynie
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator komputera
|
Machine ID | True | string |
Identyfikator maszyny do zbadania |
|
Comment
|
Comment | True | string |
Komentarz do skojarzenia z dochodzeniem |
Zwraca
Pojedyncza jednostka badania
- Badanie
- Investigation
Akcje — usuwanie ograniczenia wykonywania aplikacji
Włączanie wykonywania dowolnej aplikacji na maszynie
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator komputera
|
Machine ID | True | string |
Identyfikator maszyny, która ma być nieograniczona |
|
Comment
|
Comment | True | string |
Komentarz do skojarzenia z usunięciem ograniczeń |
Zwraca
Jednostka akcji pojedynczej maszyny
- Akcja komputera
- MachineAction
Akcje — uzyskiwanie akcji pojedynczej maszyny
Pobieranie z usługi Windows Defender ATP określonej akcji komputera
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator akcji maszyny
|
Machine Action ID | True | string |
Identyfikator akcji maszyny do pobrania |
Zwraca
Jednostka akcji pojedynczej maszyny
- Akcja komputera
- MachineAction
Akcje — uzyskiwanie identyfikatora URI pobierania pakietu badania
Uzyskiwanie identyfikatora URI umożliwiającego pobieranie pakietu badania
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator akcji
|
Machine action ID | True | string |
Identyfikator kolekcji pakietów badania |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Identyfikator URI sygnatury dostępu współdzielonego pakietu
|
value | string |
Identyfikator URI sygnatury dostępu współdzielonego pakietu badania |
Akcje — uzyskiwanie identyfikatora URI pobierania wyniku polecenia odpowiedzi na żywo
Pobieranie identyfikatora URI pobierania wyników dla ukończonego polecenia odpowiedzi na żywo
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator akcji maszyny
|
Machine Action ID | True | string |
Identyfikator akcji maszyny |
|
Indeks polecenia odpowiedzi na żywo
|
Command Index | True | integer |
Indeks polecenia odpowiedzi na żywo w celu pobrania identyfikatora URI pobierania wyników dla polecenia |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Pobierz identyfikator URI
|
value | string |
Identyfikator URI pobierania identyfikatora URI polecenia odpowiedzi na żywo |
Akcje — uzyskiwanie listy badań
Pobieranie z usługi Microsoft Defender ATP najnowszych badań
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Filtruje wyniki
|
$filter | string |
Filtruje wyniki przy użyciu składni OData. |
|
|
Wybiera właściwości
|
$select | string |
Wybiera właściwości, które mają być uwzględnione w odpowiedzi, powoduje ustawienie domyślne dla wszystkich. |
|
|
Sortuje wyniki
|
$orderby | string |
Sortuje wyniki. |
|
|
Zwraca pierwsze wyniki
|
$top | integer |
Zwraca tylko pierwsze n wyników. |
|
|
Pomija pierwsze wyniki
|
$skip | integer |
Pomija pierwsze n wyników. |
|
|
Uwzględnia liczbę
|
$count | boolean |
Zawiera liczbę pasujących wyników w odpowiedzi. |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Liczba badań
|
@odata.count | integer |
Liczba dostępnych badań według tego zapytania |
|
Dochodzenia
|
value | array of Investigation |
Dochodzenia zwróciły |
|
Następny link
|
@odata.nextLink | string |
Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano |
Akcje — uzyskiwanie pojedynczego badania
Pobieranie z usługi Microsoft Defender ATP określonego badania
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator badania
|
Investigation ID | True | string |
Identyfikator badania do pobrania |
Zwraca
Pojedyncza jednostka badania
- Badanie
- Investigation
Akcje — zbieranie pakietu badania
Zbieranie pakietu badania z maszyny
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator komputera
|
Machine ID | True | string |
Identyfikator maszyny do zbierania badania z |
|
Comment
|
Comment | True | string |
Komentarz do skojarzenia z kolekcją |
Zwraca
Jednostka akcji pojedynczej maszyny
- Akcja komputera
- MachineAction
Alerty — aktualizowanie alertu
Aktualizowanie alertu usługi Windows Defender ATP
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator alertu
|
Alert ID | True | string |
Identyfikator alertu do zaktualizowania |
|
Status
|
status | string |
Stan alertu. Jeden z "New", "InProgress" i "Resolved" |
|
|
Przypisano do
|
assignedTo | string |
Osoba, do której ma zostać przypisany alert |
|
|
Classification
|
classification | string |
Klasyfikacja wpisu. Jeden z "Nieznany", "FalsePositive", "TruePositive" |
|
|
Determinacja
|
determination | string |
Określenie alertu. Jeden z elementów "NotAvailable", "Apt", "Malware", "SecurityPersonnel", "SecurityTesting", "UnwantedSoftware", "Other" |
Zwraca
Pojedyncza jednostka alertu
- Alarm
- Alert
Alerty — pobieranie listy alertów
Pobieranie z usługi Windows Defender ATP najnowszych alertów
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Rozwija jednostki
|
$expand | string |
Rozwija powiązane encje w tekście. |
|
|
Filtruje wyniki
|
$filter | string |
Filtruje wyniki przy użyciu składni OData. |
|
|
Wybiera właściwości
|
$select | string |
Wybiera właściwości, które mają być uwzględnione w odpowiedzi, powoduje ustawienie domyślne dla wszystkich. |
|
|
Sortuje wyniki
|
$orderby | string |
Sortuje wyniki. |
|
|
Zwraca pierwsze wyniki
|
$top | integer |
Zwraca tylko pierwsze n wyników. |
|
|
Pomija pierwsze wyniki
|
$skip | integer |
Pomija pierwsze n wyników. |
|
|
Uwzględnia liczbę
|
$count | boolean |
Zawiera liczbę pasujących wyników w odpowiedzi. |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Liczba alertów
|
@odata.count | integer |
Liczba dostępnych alertów przez to zapytanie |
|
Alerts
|
value | array of Alert |
Zwrócone alerty |
|
Następny link
|
@odata.nextLink | string |
Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano |
Alerty — tworzenie alertu
Tworzenie alertu na podstawie określonego zdarzenia
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator komputera
|
machineId | True | string |
Identyfikator maszyny, na której zidentyfikowano zdarzenie |
|
Identyfikator raportu
|
reportId | True | integer |
Identyfikator raportu zdarzenia |
|
Czas zdarzenia
|
eventTime | True | string |
Czas zdarzenia jako ciągu, np. 2018-08-03T16:45:21.7115183Z |
|
Severity
|
severity | True | string |
Ważność alertu. |
|
Kategoria
|
category | True | string |
Kategoria alertu |
|
Title
|
title | True | string |
Tytuł alertu |
|
Description
|
description | True | string |
Opis alertu |
|
Zalecana akcja
|
recommendedAction | True | string |
Zalecana akcja alertu |
Zwraca
Pojedyncza jednostka alertu
- Alarm
- Alert
Alerty — uzyskiwanie pojedynczego alertu
Pobieranie z usługi Windows Defender ATP określonego alertu
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator alertu
|
Alert ID | True | string |
Identyfikator alertu do pobrania |
Zwraca
Pojedyncza jednostka alertu
- Alarm
- Alert
Domeny — pobieranie statystyk dla podanej nazwy domeny
Pobieranie ze statystyk usługi Windows Defender ATP związanych z daną nazwą domeny
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Nazwa domeny
|
Domain Name | True | string |
Nazwa domeny |
|
Okres wyszukiwania wstecz w godzinach do wyszukania, wartość domyślna to 24 godziny.
|
lookBackHours | integer |
Okres wyszukiwania wstecz w godzinach do wyszukania, wartość domyślna to 24 godziny. |
Zwraca
Jednostka statystyki pojedynczego adresu IP
- Statystyki domeny
- DomainStats
Działania korygowania — pobieranie listy powiązanych maszyn (wersja zapoznawcza)
Pobieranie z usługi Windows Defender ATP powiązanych maszyn do określonego działania korygowania
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator działania korygowania
|
RemediationID | True | string |
Identyfikator działania korygowania do pobrania |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Liczba maszyn
|
@odata.count | integer |
Liczba dostępnych maszyn według tego zapytania |
|
Machines
|
value | array of Machine |
Zwrócone maszyny |
|
Następny link
|
@odata.nextLink | string |
Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano |
Ips — pobieranie statystyk dla danego adresu IP
Pobierz dane ze statystyk usługi Windows Defender ATP związanych z danym adresem IP — podane w formacie ipv4 lub ipv6.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Adres IP
|
Ip Address | True | string |
Adres IP |
|
Okres wyszukiwania wstecz w godzinach do wyszukania, wartość domyślna to 24 godziny.
|
lookBackHours | integer |
Okres wyszukiwania wstecz w godzinach do wyszukania, wartość domyślna to 24 godziny. |
Zwraca
Jednostka statystyki pojedynczego adresu IP
- Statystyki adresów IP
- IpStats
Maszyny — maszyna tagowa
Dodawanie lub usuwanie tagu do/z maszyny
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator maszyny
|
Machine ID | True | string |
Identyfikator maszyny, do której należy dodać lub usunąć tag |
|
Wartość
|
Value | True | string |
Tag do dodania lub usunięcia |
|
Akcja
|
Action | True | string |
Akcja, która ma zostać wykonana. Wartość powinna być jedną z wartości "Dodaj" (aby dodać tag) lub "Usuń" (aby usunąć tag) |
Zwraca
Jednostka pojedynczej maszyny
- Maszyna
- Machine
Maszyny — pobieranie listy maszyn
Pobieranie z usługi Windows Defender ATP najnowszych maszyn
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Filtruje wyniki
|
$filter | string |
Filtruje wyniki przy użyciu składni OData. |
|
|
Wybiera właściwości
|
$select | string |
Wybiera właściwości, które mają być uwzględnione w odpowiedzi, powoduje ustawienie domyślne dla wszystkich. |
|
|
Sortuje wyniki
|
$orderby | string |
Sortuje wyniki. |
|
|
Zwraca pierwsze wyniki
|
$top | integer |
Zwraca tylko pierwsze n wyników. |
|
|
Pomija pierwsze wyniki
|
$skip | integer |
Pomija pierwsze n wyników. |
|
|
Uwzględnia liczbę
|
$count | boolean |
Zawiera liczbę pasujących wyników w odpowiedzi. |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Liczba maszyn
|
@odata.count | integer |
Liczba dostępnych maszyn według tego zapytania |
|
Machines
|
value | array of Machine |
Zwrócone maszyny |
|
Następny link
|
@odata.nextLink | string |
Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano |
Maszyny — uzyskiwanie pojedynczej maszyny
Pobieranie z usługi Windows Defender ATP określonej maszyny
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator maszyny
|
Machine ID | True | string |
Identyfikator maszyny do pobrania |
Zwraca
Jednostka pojedynczej maszyny
- Maszyna
- Machine
Pliki — pobieranie statystyk dla danego pliku
Pobieranie ze statystyk usługi Windows Defender ATP dla danego pliku do danego pliku według identyfikatora Sha1 lub Sha256
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator pliku — Sha1 lub Sha256
|
File ID | True | string |
Identyfikator pliku — Sha1 lub Sha256 |
|
Okres wyszukiwania wstecz w godzinach do wyszukania, wartość domyślna to 24 godziny.
|
lookBackHours | integer |
Okres wyszukiwania wstecz w godzinach do wyszukania, wartość domyślna to 24 godziny. |
Zwraca
Pojedyncza jednostka statystyk plików
- Statystyki plików
- FileStats
RemediationActivities — uzyskiwanie pojedynczego działania korygacyjnego (wersja zapoznawcza)
Pobieranie z usługi Windows Defender ATP określonego działania korygacyjnego
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator działania korygowania
|
RemediationID | True | string |
Identyfikator działania korygowania do pobrania |
Zwraca
Pojedyncza jednostka działania korygowania
- Działanie korygowania
- RemediationActivity
Zaawansowane wyszukiwanie zagrożeń
Uruchamianie zapytania niestandardowego w usłudze Windows Defender ATP
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Query
|
Query | True | string |
Zapytanie do uruchomienia |
Zwraca
Zadania korygowania — uzyskiwanie listy działań korygowania (wersja zapoznawcza)
Pobieranie z usługi Windows Defender ATP działań remdiation
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Filtruje wyniki
|
$filter | string |
Filtruje wyniki przy użyciu składni OData. |
|
|
Wybiera właściwości
|
$select | string |
Wybiera właściwości, które mają być uwzględnione w odpowiedzi, powoduje ustawienie domyślne dla wszystkich. |
|
|
Sortuje wyniki
|
$orderby | string |
Sortuje wyniki. |
|
|
Zwraca pierwsze wyniki
|
$top | integer |
Zwraca tylko pierwsze n wyników. |
|
|
Pomija pierwsze wyniki
|
$skip | integer |
Pomija pierwsze n wyników. |
|
|
Uwzględnia liczbę
|
$count | boolean |
Zawiera liczbę pasujących wyników w odpowiedzi. |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Liczba działań korygowania
|
@odata.count | integer |
Liczba działań korygcyjnych według tego zapytania |
|
Działania korygowania
|
value | array of RemediationActivity |
Zwrócone działania korygowania |
|
Następny link
|
@odata.nextLink | string |
Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano |
Wyzwalacze
| Wyzwala po utworzeniu nowego działania korygowania (wersja zapoznawcza) |
Wyzwala po utworzeniu nowego działania korygowania |
| Wyzwalacze — wyzwalacz po wystąpieniu nowego alertu WDATP |
Subskrybowanie alertów usługi Windows Defender ATP |
Wyzwala po utworzeniu nowego działania korygowania (wersja zapoznawcza)
Wyzwala po utworzeniu nowego działania korygowania
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Liczba działań korygowania
|
@odata.count | integer |
Liczba działań korygcyjnych według tego zapytania |
|
Działania korygowania
|
value | array of RemediationActivity |
Zwrócone działania korygowania |
|
Następny link
|
@odata.nextLink | string |
Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano |
Wyzwalacze — wyzwalacz po wystąpieniu nowego alertu WDATP
Definicje
Alarm
Pojedyncza jednostka alertu
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Identyfikator alertu
|
id | string |
Identyfikator alertu |
|
Identyfikator zdarzenia
|
incidentId | integer |
Identyfikator zdarzenia |
|
Identyfikator badania
|
investigationId | integer |
Identyfikator badania |
|
Surowość alertu
|
severity | string |
Surowość alertu |
|
Status
|
status | string |
Stan alertu |
|
Description
|
description | string |
Opis alertu |
|
Czas tworzenia alertu
|
alertCreationTime | date-time |
Godzina utworzenia alertu |
|
Kategoria
|
category | string |
Kategoria alertów |
|
Title
|
title | string |
Tytuł alertu |
|
Nazwa rodziny zagrożeń
|
threatFamilyName | string |
Nazwa rodziny zagrożeń |
|
Źródło wykrywania
|
detectionSource | string |
Źródło wykrywania |
|
Classification
|
classification | string |
Klasyfikacja alertów |
|
Determinacja
|
determination | string |
Określanie alertów |
|
Przypisano do
|
assignedTo | string |
Osoba, do której przypisano alert |
|
Rozwiązany czas
|
resolvedTime | string |
Czas rozwiązania alertu |
|
Czas ostatniego zdarzenia
|
lastEventTime | date-time |
Godzina ostatniego zdarzenia związanego z alertem |
|
Pierwsze zdarzenie
|
firstEventTime | date-time |
Godzina pierwszego zdarzenia związanego z alertem |
|
Identyfikator komputera
|
machineId | string |
Identyfikator maszyny powiązanej z alertem |
Maszyna
Jednostka pojedynczej maszyny
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Identyfikator komputera
|
id | string |
Identyfikator komputera |
|
Nazwa komputera
|
computerDnsName | string |
Nazwa komputera |
|
Po raz pierwszy widziany
|
firstSeen | date-time |
Godzina pierwszego zdarzenia odebranego przez maszynę |
|
Ostatnio widziany
|
lastSeen | date-time |
Godzina ostatniego zdarzenia odebranego przez maszynę |
|
Platforma systemu operacyjnego
|
osPlatform | string |
Platforma systemu operacyjnego maszyny |
|
Wersja systemu operacyjnego
|
osVersion | string |
Wersja systemu operacyjnego maszyny |
|
Nazwa produktu systemowego
|
systemProductName | date-time |
systemProductName |
|
Ostatni adres IP
|
lastIpAddress | string |
Ostatni adres IP maszyny |
|
Ostatni zewnętrzny adres IP
|
lastExternalIpAddress | string |
Ostatni zewnętrzny adres IP maszyny |
|
Wersja agenta
|
agentVersion | string |
Wersja agenta |
|
Kompilacja systemu operacyjnego
|
osBuild | integer |
Kompilacja systemu operacyjnego maszyny |
|
Stan kondycji
|
healthStatus | string |
Stan kondycji maszyny |
|
Czy identyfikator Entra firmy Microsoft jest przyłączony
|
isAadJoined | boolean |
Flaga wskazująca, czy maszyna jest przyłączona do identyfikatora Entra firmy Microsoft |
|
Tagi maszyny
|
machineTags | array of string |
Tagi skojarzone z maszyną |
|
Identyfikator grupy RBAC
|
rbacGroupId | integer |
Identyfikator grupy RBAC, do której należy maszyna |
|
Nazwa grupy RBAC
|
rbacGroupName | string |
Nazwa grupy RBAC, do której należy maszyna |
|
Ocena ryzyka
|
riskScore | string |
Wynik wskazujący, ile maszyna jest zagrożona |
|
Identyfikator urządzenia Entra ID firmy Microsoft
|
aadDeviceId | string |
aadDeviceId |
RemediationActivity
Pojedyncza jednostka działania korygowania
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Identyfikator działania korygowania
|
id | string |
Identyfikator działania korygowania |
|
Tytuł działania korygacyjnego
|
title | string |
Tytuł działania korygacyjnego |
|
Utworzono:
|
createdOn | date-time |
Godzina utworzenia działania korygowania |
|
Stan ostatnio zmodyfikowany w dniu
|
statusLastModifiedOn | date-time |
Godzina ostatniej modyfikacji stanu |
|
Identyfikator twórcy
|
requesterId | string |
Identyfikator twórcy działania korygowania |
|
Adres e-mail twórcy
|
requesterEmail | string |
Adres e-mail twórcy działań korygowania |
|
Status
|
status | string |
stan działania korygowania |
|
Description
|
description | string |
Opis działania korygowania |
|
Powiązany składnik
|
relatedComponent | string |
Składnik powiązany z działaniem korygowania |
|
Urządzenia docelowe
|
targetDevices | integer |
Liczba maszyn docelowych działań korygowania |
|
Nazwy grup Rbac
|
rbacGroupNames | array of string |
Nazwy grup rbac skojarzone z działaniem korygowania |
|
Stałe urządzenia
|
fixedDevices | integer |
Liczba stałych maszyn działań korygcyjnych |
|
notatki twórcy
|
requesterNotes | string |
Uwagi twórcy działań remeidacji |
|
Termin na
|
dueOn | date-time |
Czas ukończenia działania korygowania |
|
Kategoria
|
category | string |
kategoria działań korygowania |
|
Typ korygowania wpływu na produktywność
|
productivityImpactRemediationType | string |
typ wpływu na produktywność korygowania |
|
Priority
|
priority | string |
Priorytet działania korygowania |
|
Metoda uzupełniania
|
completionMethod | string |
Metoda uzupełniania działania korygowania |
|
Identyfikator kompletnego elementu
|
completerId | string |
Identyfikator obiektu uzupełniania działania korygowania |
|
Wiadomość e-mail z kompletnym adresem e-mail
|
completerEmail | string |
Adres e-mail ukończenia działania korygowania |
|
Identyfikator konfiguracji zabezpieczeń
|
scid | string |
Identyfikator konfiguracji zabezpieczeń działania korygowania |
|
Typ
|
type | string |
Typ działania korygowania |
|
Identyfikator produktu
|
productId | string |
Identyfikator produktu |
|
Identyfikator dostawcy
|
vendorId | string |
Identyfikator dostawcy |
|
Identyfikator nazwy
|
nameId | string |
Identyfikator nazwy |
|
Rekomendowana wersja
|
recommendedVersion | string |
Rekomendowana wersja |
|
Zalecany dostawca
|
recommendedVendor | string |
Zalecany dostawca |
|
Zalecany program
|
recommendedProgram | string |
Zalecany program |
|
Dokumentacja rekomendacji
|
RecommendationReference | string |
Dokumentacja rekomendacji |
MachineAction
Jednostka akcji pojedynczej maszyny
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Identyfikator akcji
|
id | string |
Identyfikator akcji maszyny |
|
Typ akcji
|
type | string |
Typ akcji (np. "Izoluj", "CollectInvestigationPackage", ...) |
|
Żądającego
|
requestor | string |
Osoba, która zażądała akcji maszyny |
|
Comment
|
requestorComment | string |
Komentarz skojarzony z akcją maszyny |
|
Status
|
status | string |
Stan akcji maszyny (np. "InProgress") |
|
identyfikator
|
machineId | string |
Identyfikator maszyny, na której wykonano akcję |
|
Godzina utworzenia
|
creationDateTimeUtc | date-time |
Godzina UTC, o której zażądano akcji |
|
Czas ostatniej aktualizacji
|
lastUpdateDateTimeUtc | date-time |
Czas ostatniej aktualizacji akcji o godzinie UTC |
|
Commands
|
commands | array of LiveResponseCommandStatus |
Polecenia akcji maszyny odpowiedzi na żywo |
LiveResponseCommandStatus
Pojedyncze polecenie w jednostce akcji maszyny odpowiedzi na żywo
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Indeks poleceń
|
index | integer |
Indeks polecenia |
|
Czas rozpoczęcia wykonywania polecenia
|
startTime | date-time |
Czas rozpoczęcia wykonywania polecenia UTC |
|
Godzina zakończenia wykonywania polecenia
|
endTime | date-time |
Czas zakończenia wykonywania polecenia UTC |
|
Stan polecenia
|
commandStatus | string |
Stan wykonania polecenia (np. "Ukończono") |
|
Błędy poleceń
|
errors | array of string |
Lista błędów wykonywania poleceń. Jeśli nie zgłoszono żadnych błędów, będzie to pusta lista. |
|
polecenie
|
command | LiveResponseCommand |
LiveResponseCommand
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Typ polecenia
|
type | string |
Typ polecenia |
|
Parametry poleceń
|
params | array of object |
Lista parametrów polecenia. |
|
Klucz parametru polecenia
|
params.key | string |
Klucz parametru polecenia |
|
Wartość parametru polecenia
|
params.value | string |
Wartość parametru polecenia |
FileStats
Pojedyncza jednostka statystyk plików
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Sha1
|
sha1 | string |
Sha1 pliku |
|
Globalna częstość występowania
|
globallyPrevalence | integer |
Globalna częstość występowania pliku. |
|
Pierwsze zaobserwowane na całym świecie
|
globalFirstObserved | date-time |
Po raz pierwszy plik był obserwowany globalnie. |
|
Ostatnio obserwowane na całym świecie
|
globalLastObserved | date-time |
Czas ostatniego zaobserwowanego pliku. |
|
Częstość występowania organizacji
|
organizationPrevalence | integer |
Częstość występowania plików w całej organizacji |
|
Organizacja po raz pierwszy zaobserwowana
|
orgFirstSeen | date-time |
Przy pierwszym zaobserwowaniu pliku w organizacji. |
|
Ostatnia obchodzona organizacja
|
orgLastSeen | date-time |
Ostatni raz plik zaobserwowano w organizacji. |
|
Najważniejsze nazwy plików
|
topFileNames | array of string |
Nazwy plików, które zostały przedstawione w tym pliku. |
IpStats
Jednostka statystyki pojedynczego adresu IP
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Adresy IP
|
ipAddress | string |
Adresy IP |
|
Częstość występowania organizacji
|
organizationPrevalence | integer |
Częstość występowania adresów IP w całej organizacji |
|
Organizacja po raz pierwszy zaobserwowana
|
orgFirstSeen | date-time |
Przy pierwszym obserwowaniu adresu IP w organizacji. |
|
Ostatnia obchodzona organizacja
|
orgLastSeen | date-time |
Ostatni raz adres IP był obserwowany w organizacji. |
DomainStats
Jednostka statystyki pojedynczego adresu IP
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Host
|
host | string |
Host domeny. |
|
Częstość występowania organizacji
|
organizationPrevalence | integer |
Częstość występowania domeny w całej organizacji |
|
Organizacja po raz pierwszy zaobserwowana
|
orgFirstSeen | date-time |
Przy pierwszym obserwowaniu domeny w organizacji. |
|
Ostatnia obchodzona organizacja
|
orgLastSeen | date-time |
Ostatni raz domena była obserwowana w organizacji. |
Badanie
Pojedyncza jednostka badania
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
identyfikator
|
id | string |
Identyfikator badania |
|
Stan badania
|
state | string |
Stan dochodzenia (np. "Łagodny", "Działa" itp.). |
|
Szczegóły statusu
|
statusDetails | string |
Szczegółowe informacje o stanie |
|
Nazwa komputera
|
computerDnsName | string |
Nazwa komputera |
|
Identyfikator komputera
|
machineId | string |
Identyfikator komputera |
|
Godzina rozpoczęcia
|
startTime | date-time |
Czas UTC, o którym rozpoczęto badanie |
|
Godzina zakończenia
|
endTime | date-time |
Godzina UTC, o której zakończono badanie |
Adnotacja elementu webhook
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Identyfikator alertu
|
id | string | |
|
Identyfikator komputera
|
machineId | string |