Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Aby uzyskać pełne dostępne środowisko interfejsu API alertów we wszystkich produktach usługi Microsoft Defenders, odwiedź stronę: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.
Właściwości
| Własność | Wpisać | Opis |
|---|---|---|
| ID | Ciąg | Identyfikator alertu. |
| tytuł | Ciąg | Tytuł alertu. |
| opis | Ciąg | Opis alertu. |
| alertCreationTime | DateTimeOffset z możliwością wartości null | Data i godzina (w utc) alert został utworzony. |
| lastEventTime | DateTimeOffset z możliwością wartości null | Ostatnie wystąpienie zdarzenia, które wyzwoliło alert na tym samym urządzeniu. |
| firstEventTime | DateTimeOffset z możliwością wartości null | Pierwsze wystąpienie zdarzenia, które wyzwoliło alert na tym urządzeniu. |
| lastUpdateTime | DateTimeOffset z możliwością wartości null | Data i godzina (w utc) alert został ostatnio zaktualizowany. |
| resolvedTime | DateTimeOffset z możliwością wartości null | Data i godzina zmiany stanu alertu na Rozwiązano. |
| incidentId | Długi z możliwością wartości null | Identyfikator zdarzenia alertu. |
| investigationId | Długi z możliwością wartości null | Identyfikator badania związany z alertem. |
| investigationState | Wyliczenie dopuszczane wartością null | Bieżący stan badania. Możliwe wartości to: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. |
| assignedTo | Ciąg | Właściciel alertu. |
| rbacGroupName | Ciąg | Nazwa grupy urządzeń kontroli dostępu opartej na rolach. |
| mitreTechniques | Ciąg | Identyfikator techniki Mitre Enterprise. |
| relatedUser | Ciąg | Szczegóły użytkownika związane z określonym alertem. |
| dotkliwość | Wyliczenie | Ważność alertu. Możliwe wartości to: Niespecyfikowane, Informacyjne, Niskie, Średnie i Wysokie. |
| stan | Wyliczenie | Określa bieżący stan alertu. Możliwe wartości to: Nieznany, Nowy, InProgress i Rozwiązane. |
| klasyfikacja | Wyliczenie dopuszczane wartością null | Specyfikacja alertu. Możliwe wartości to: TruePositive, Informational, expected activity, i FalsePositive. |
| determinacja | Wyliczenie dopuszczane wartością null | Określa określenie alertu. Możliwe wartości określania dla każdej klasyfikacji to: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API( Malware Malware), (Phishing), PhishingUnwanted software (UnwantedSoftware) i Other (Inne). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API i Other (Inne). Not malicious (Czyste) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie Not enough data to validate API (InsufficientData) i Other (Inne). |
| kategoria | Ciąg | Kategoria alertu. |
| detectionSource | Ciąg | Źródło wykrywania. |
| threatFamilyName | Ciąg | Rodzina zagrożeń. |
| threatName | Ciąg | Nazwa zagrożenia. |
| machineId | Ciąg | Identyfikator jednostki maszyny skojarzonej z alertem. |
| computerDnsName | Ciąg | w pełni kwalifikowana nazwa maszyny. |
| aadTenantId | Ciąg | Tożsamość Microsoft Entra. |
| detectorId | Ciąg | Identyfikator detektora, który wyzwolił alert. |
| Komentarze | Lista komentarzy alertów | Obiekt komentarza alertu zawiera ciąg komentarza, ciąg createdBy i createTime date time. |
| Dowód | Lista dowodów alertów | Dowody związane z alertem. Zobacz poniższy przykład. |
Uwaga
Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów (Apt i SecurityPersonnel) będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.
Przykład odpowiedzi dotyczący uzyskiwania pojedynczego alertu:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}