Microsoft Defender ATP
O Microsoft Defender ATP é uma plataforma unificada para proteção preventiva, detecção pós-violação, investigação automatizada e resposta. Leia mais sobre isso aqui: http://aka.ms/wdatp
Esse conector está disponível nos seguintes produtos e regiões:
| Service | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Todas as regiões do Power Automate , exceto as seguintes: - China Cloud operado pela 21Vianet |
| Aplicativos Lógicos | Standard | Todas as regiões dos Aplicativos Lógicos , exceto as seguintes: - Regiões do Azure China |
| Power Apps | Premium | Todas as regiões do Power Apps , exceto as seguintes: - China Cloud operado pela 21Vianet |
| Power Automate | Premium | Todas as regiões do Power Automate , exceto as seguintes: - China Cloud operado pela 21Vianet |
| Contato | |
|---|---|
| Nome | Microsoft |
| URL |
Suporte do Microsoft LogicApps Suporte do Microsoft Power Automate Suporte do Microsoft Power Apps |
| Metadados do conector | |
|---|---|
| Publicador | Microsoft |
| Site | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
Criando uma conexão
O conector dá suporte aos seguintes tipos de autenticação:
| Default | Parâmetros para criar conexão. | Todas as regiões | Não compartilhável |
Padrão
Aplicável: todas as regiões
Parâmetros para criar conexão.
Essa não é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
Limitações
| Nome | Chamadas | Período de renovação |
|---|---|---|
| Chamadas à API por conexão | 100 | 60 segundos |
Ações
| Alertas – Atualizar alerta |
Atualizar um alerta do Windows Defender ATP |
| Alertas – Criar alerta |
Criar alerta com base em um evento específico |
| Alertas – Obter alerta único |
Recuperar do Windows Defender ATP um alerta específico |
| Alertas – Obter lista de alertas |
Recuperar do Windows Defender ATP os alertas mais recentes |
| Arquivos – Obter as estatísticas do arquivo especificado |
Recuperar das estatísticas do Windows Defender ATP para o arquivo especificado em um determinado arquivo pelo identificador Sha1 ou Sha256 |
| Atividades de correção – Obter lista de computadores relacionados (versão prévia) |
Recuperar do Windows Defender ATP os computadores relacionados para uma atividade de correção específica |
| Ações – Cancelar uma única ação do computador |
Cancelar uma ação de computador específica |
| Ações – Coletar pacote de investigação |
Coletar pacote de investigação de um computador |
| Ações – Computador unisolado |
Unisolar um computador da rede |
| Ações – Executar resposta ao vivo |
Executar comandos de API de resposta ao vivo para um único computador |
| Ações – Executar verificação antivírus |
Iniciar a verificação do Windows Defender Antivírus em um computador |
| Ações – Iniciar investigação automatizada em um computador (versão prévia) |
Iniciar investigação automatizada em um computador |
| Ações – Iniciar investigação em um computador (a ser preterido) |
Iniciar investigação em um computador |
| Ações – Isolar o computador |
Isolar um computador da rede |
| Ações – Obter ação de computador único |
Recuperar do Windows Defender ATP uma ação de computador específica |
| Ações – Obter investigação única |
Recuperar do Microsoft Defender ATP uma investigação específica |
| Ações – Obter lista de ações do computador |
Recuperar do Windows Defender ATP as ações mais recentes do computador |
| Ações – Obter lista de investigação |
Recuperar do Microsoft Defender ATP as investigações mais recentes |
| Ações – Obter URI de download do pacote de investigação |
Obter um URI que permite o download de um pacote de investigação |
| Ações – Obter URI de download do resultado do comando de resposta ao vivo |
Obter o URI de download de resultados para um comando de resposta ao vivo concluído |
| Ações – Remover restrição de execução do aplicativo |
Habilitar a execução de qualquer aplicativo no computador |
| Ações – Restringir a execução do aplicativo |
Restringir a execução de todos os aplicativos no computador, exceto um conjunto predefinido |
| Computadores – Computador de marcação |
Adicionar ou remover uma marca de/para um computador |
| Computadores – Obter lista de computadores |
Recuperar do Windows Defender ATP os computadores mais recentes |
| Computadores – Obter um único computador |
Recuperar do Windows Defender ATP um computador específico |
| Domínios – Obter as estatísticas para o nome de domínio fornecido |
Recuperar das estatísticas do Windows Defender ATP relacionadas a um determinado nome de domínio |
| Investigação Avançada |
Executar uma consulta personalizada no Windows Defender ATP |
| Ips – Obter as estatísticas do endereço ip especificado |
Recupere as estatísticas do Windows Defender ATP relacionadas a um determinado endereço ip, fornecidas no formato ipv4 ou ipv6. |
|
Remediation |
Recuperar do Windows Defender ATP uma atividade de correção específica |
| Tarefas de correção – Obter lista de atividades de correção (versão prévia) |
Recuperar do Windows Defender ATP as atividades de remedição |
Alertas – Atualizar alerta
Atualizar um alerta do Windows Defender ATP
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do alerta
|
Alert ID | True | string |
O identificador do alerta a ser atualizado |
|
Situação
|
status | string |
Status do alerta. Um de 'New', 'InProgress' e 'Resolved' |
|
|
Atribuído a
|
assignedTo | string |
Pessoa à qual atribuir o alerta |
|
|
Classification
|
classification | string |
Classificação do alerta. Um de 'Desconhecido', 'FalsePositive', 'TruePositive' |
|
|
Determinação
|
determination | string |
A determinação do alerta. Um de 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other' |
Retornos
Uma única entidade de alerta
- Alerta
- Alert
Alertas – Criar alerta
Criar alerta com base em um evento específico
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
machineId | True | string |
ID do computador no qual o evento foi identificado |
|
ID do Relatório
|
reportId | True | integer |
ID do relatório do evento |
|
Hora do evento
|
eventTime | True | string |
Hora do evento como cadeia de caracteres, por exemplo, 2018-08-03T16:45:21.7115183Z |
|
Severity
|
severity | True | string |
Gravidade do alerta. |
|
Categoria
|
category | True | string |
Categoria do alerta |
|
Title
|
title | True | string |
Título do alerta |
|
Description
|
description | True | string |
Descrição do alerta |
|
Ação recomendada
|
recommendedAction | True | string |
Ação recomendada para o alerta |
Retornos
Uma única entidade de alerta
- Alerta
- Alert
Alertas – Obter alerta único
Recuperar do Windows Defender ATP um alerta específico
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do alerta
|
Alert ID | True | string |
O identificador do alerta a ser recuperado |
Retornos
Uma única entidade de alerta
- Alerta
- Alert
Alertas – Obter lista de alertas
Recuperar do Windows Defender ATP os alertas mais recentes
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Expande entidades
|
$expand | string |
Expande entidades relacionadas embutidas. |
|
|
Resultados dos filtros
|
$filter | string |
Filtra os resultados usando a sintaxe OData. |
|
|
Seleciona propriedades
|
$select | string |
Seleciona quais propriedades incluir na resposta, o padrão é para todos. |
|
|
Classifica os resultados
|
$orderby | string |
Classifica os resultados. |
|
|
Retorna os primeiros resultados
|
$top | integer |
Retorna apenas os primeiros n resultados. |
|
|
Ignora os primeiros resultados
|
$skip | integer |
Ignora os primeiros n resultados. |
|
|
Inclui contagem
|
$count | boolean |
Inclui uma contagem dos resultados correspondentes na resposta. |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de alertas
|
@odata.count | integer |
O número de alertas disponíveis por esta consulta |
|
Alerts
|
value | array of Alert |
Os alertas retornados |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados caso haja mais resultados do que o solicitado |
Arquivos – Obter as estatísticas do arquivo especificado
Recuperar das estatísticas do Windows Defender ATP para o arquivo especificado em um determinado arquivo pelo identificador Sha1 ou Sha256
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
O identificador de arquivo – Sha1 ou Sha256
|
File ID | True | string |
O identificador de arquivo – Sha1 ou Sha256 |
|
O período de olhar para trás em horas a serem pesquisadas, o padrão é 24 horas.
|
lookBackHours | integer |
O período de olhar para trás em horas a serem pesquisadas, o padrão é 24 horas. |
Retornos
Uma única entidade de estatísticas de arquivo
- Estatísticas de Arquivo
- FileStats
Atividades de correção – Obter lista de computadores relacionados (versão prévia)
Recuperar do Windows Defender ATP os computadores relacionados para uma atividade de correção específica
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID da atividade de correção
|
RemediationID | True | string |
O identificador da atividade de correção a ser recuperada |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de computadores
|
@odata.count | integer |
O número de computadores disponíveis por esta consulta |
|
Machines
|
value | array of Machine |
Os computadores retornados |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados caso haja mais resultados do que o solicitado |
Ações – Cancelar uma única ação do computador
Cancelar uma ação de computador específica
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID da ação do computador
|
Machine Action ID | True | string |
O identificador da ação do computador a ser cancelada |
|
Comment
|
Comment | True | string |
Um comentário a ser associado ao cancelamento da ação do computador |
Retornos
Uma única entidade de ação do computador
- Ação do Computador
- MachineAction
Ações – Coletar pacote de investigação
Coletar pacote de investigação de um computador
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
Machine ID | True | string |
A ID do computador do qual coletar a investigação |
|
Comment
|
Comment | True | string |
Um comentário a ser associado à coleção |
Retornos
Uma única entidade de ação do computador
- Ação do Computador
- MachineAction
Ações – Computador unisolado
Unisolar um computador da rede
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
Machine ID | True | string |
A ID do computador a não ser desolada |
|
Comment
|
Comment | True | string |
Um comentário a ser associado à unisolação |
Retornos
Uma única entidade de ação do computador
- Ação do Computador
- MachineAction
Ações – Executar resposta ao vivo
Executar comandos de API de resposta ao vivo para um único computador
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
Machine ID | True | string |
A ID do computador para executar a sessão de resposta ao vivo em |
|
Comment
|
Comment | True | string |
Um comentário a ser associado ao isolamento |
|
Tipo de comando
|
type | True | string |
O tipo do comando |
|
Chave de parâmetro de comando
|
key | string |
A chave do parâmetro de comando |
|
|
Valor do parâmetro command
|
value | string |
O valor do parâmetro de comando |
Retornos
Uma única entidade de ação do computador
- Ação do Computador
- MachineAction
Ações – Executar verificação antivírus
Iniciar a verificação do Windows Defender Antivírus em um computador
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
Machine ID | True | string |
A ID do computador a ser digitalizado |
|
Comment
|
Comment | True | string |
Um comentário a ser associado à solicitação de verificação |
|
Tipo de verificação
|
ScanType | True | string |
Tipo de verificação a ser executada. Os valores permitidos são 'Rápido' ou 'Completo' |
Retornos
Uma única entidade de ação do computador
- Ação do Computador
- MachineAction
Ações – Iniciar investigação automatizada em um computador (versão prévia)
Iniciar investigação automatizada em um computador
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
Machine ID | True | string |
A ID do computador a ser investigada |
|
Comment
|
Comment | True | string |
Um comentário a ser associado à investigação |
Retornos
Uma única entidade de investigação
- Investigação
- Investigation
Ações – Iniciar investigação em um computador (a ser preterido)
Iniciar investigação em um computador
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
Machine ID | True | string |
A ID do computador a ser investigada |
|
Comment
|
Comment | True | string |
Um comentário a ser associado à investigação |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID de investigação
|
value | string |
A ID da investigação |
Ações – Isolar o computador
Isolar um computador da rede
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
Machine ID | True | string |
A ID do computador a ser isolada |
|
Comment
|
Comment | True | string |
Um comentário a ser associado ao isolamento |
|
Tipo de isolamento
|
IsolationType | True | string |
Tipo de isolamento. Os valores permitidos são 'Full' (para isolamento total) ou 'Seletivo' (para restringir apenas o conjunto limitado de aplicativos de acessar a rede) |
Retornos
Uma única entidade de ação do computador
- Ação do Computador
- MachineAction
Ações – Obter ação de computador único
Recuperar do Windows Defender ATP uma ação de computador específica
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID da ação do computador
|
Machine Action ID | True | string |
O identificador da ação do computador a ser recuperado |
Retornos
Uma única entidade de ação do computador
- Ação do Computador
- MachineAction
Ações – Obter investigação única
Recuperar do Microsoft Defender ATP uma investigação específica
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID da investigação
|
Investigation ID | True | string |
O identificador da investigação a ser recuperada |
Retornos
Uma única entidade de investigação
- Investigação
- Investigation
Ações – Obter lista de ações do computador
Recuperar do Windows Defender ATP as ações mais recentes do computador
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Resultados dos filtros
|
$filter | string |
Filtra os resultados usando a sintaxe OData. |
|
|
Seleciona propriedades
|
$select | string |
Seleciona quais propriedades incluir na resposta, o padrão é para todos. |
|
|
Classifica os resultados
|
$orderby | string |
Classifica os resultados. |
|
|
Retorna os primeiros resultados
|
$top | integer |
Retorna apenas os primeiros n resultados. |
|
|
Ignora os primeiros resultados
|
$skip | integer |
Ignora os primeiros n resultados. |
|
|
Inclui contagem
|
$count | boolean |
Inclui uma contagem dos resultados correspondentes na resposta. |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de ações do computador
|
@odata.count | integer |
O número de ações de computador disponíveis por esta consulta |
|
Ações do Computador
|
value | array of MachineAction |
As ações do computador retornadas |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados caso haja mais resultados do que o solicitado |
Ações – Obter lista de investigação
Recuperar do Microsoft Defender ATP as investigações mais recentes
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Resultados dos filtros
|
$filter | string |
Filtra os resultados usando a sintaxe OData. |
|
|
Seleciona propriedades
|
$select | string |
Seleciona quais propriedades incluir na resposta, o padrão é para todos. |
|
|
Classifica os resultados
|
$orderby | string |
Classifica os resultados. |
|
|
Retorna os primeiros resultados
|
$top | integer |
Retorna apenas os primeiros n resultados. |
|
|
Ignora os primeiros resultados
|
$skip | integer |
Ignora os primeiros n resultados. |
|
|
Inclui contagem
|
$count | boolean |
Inclui uma contagem dos resultados correspondentes na resposta. |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de investigações
|
@odata.count | integer |
O número de investigações disponíveis por esta consulta |
|
Investigações
|
value | array of Investigation |
As investigações retornadas |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados caso haja mais resultados do que o solicitado |
Ações – Obter URI de download do pacote de investigação
Obter um URI que permite o download de um pacote de investigação
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID da ação
|
Machine action ID | True | string |
A ID da coleção de pacotes de investigação |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
URI de SAS do pacote
|
value | string |
O URI de SAS do pacote de investigação |
Ações – Obter URI de download do resultado do comando de resposta ao vivo
Obter o URI de download de resultados para um comando de resposta ao vivo concluído
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID da ação do computador
|
Machine Action ID | True | string |
O identificador da ação do computador |
|
Índice do comando de resposta ao vivo
|
Command Index | True | integer |
O índice do comando de resposta ao vivo para obter o URI de download de resultados para |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Baixar URI
|
value | string |
O URI de download do comando de resposta ao vivo |
Ações – Remover restrição de execução do aplicativo
Habilitar a execução de qualquer aplicativo no computador
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
Machine ID | True | string |
A ID da máquina para o unrestrict |
|
Comment
|
Comment | True | string |
Um comentário a ser associado à remoção da restrição |
Retornos
Uma única entidade de ação do computador
- Ação do Computador
- MachineAction
Ações – Restringir a execução do aplicativo
Restringir a execução de todos os aplicativos no computador, exceto um conjunto predefinido
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
Machine ID | True | string |
A ID do computador a ser restringida |
|
Comment
|
Comment | True | string |
Um comentário a ser associado à restrição |
Retornos
Uma única entidade de ação do computador
- Ação do Computador
- MachineAction
Computadores – Computador de marcação
Adicionar ou remover uma marca de/para um computador
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
Machine ID | True | string |
A ID do computador ao qual a marca deve ser adicionada ou removida |
|
Value
|
Value | True | string |
A marca a ser adicionada ou removida |
|
Ação
|
Action | True | string |
A ação a ser executada. O valor deve ser um de "Adicionar" (para adicionar uma marca) ou "Remover" (para remover uma marca) |
Retornos
Uma única entidade de computador
- Máquina
- Machine
Computadores – Obter lista de computadores
Recuperar do Windows Defender ATP os computadores mais recentes
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Resultados dos filtros
|
$filter | string |
Filtra os resultados usando a sintaxe OData. |
|
|
Seleciona propriedades
|
$select | string |
Seleciona quais propriedades incluir na resposta, o padrão é para todos. |
|
|
Classifica os resultados
|
$orderby | string |
Classifica os resultados. |
|
|
Retorna os primeiros resultados
|
$top | integer |
Retorna apenas os primeiros n resultados. |
|
|
Ignora os primeiros resultados
|
$skip | integer |
Ignora os primeiros n resultados. |
|
|
Inclui contagem
|
$count | boolean |
Inclui uma contagem dos resultados correspondentes na resposta. |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de computadores
|
@odata.count | integer |
O número de computadores disponíveis por esta consulta |
|
Machines
|
value | array of Machine |
Os computadores retornados |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados caso haja mais resultados do que o solicitado |
Computadores – Obter um único computador
Recuperar do Windows Defender ATP um computador específico
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID do computador
|
Machine ID | True | string |
O identificador do computador a ser recuperado |
Retornos
Uma única entidade de computador
- Máquina
- Machine
Domínios – Obter as estatísticas para o nome de domínio fornecido
Recuperar das estatísticas do Windows Defender ATP relacionadas a um determinado nome de domínio
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
O nome de domínio
|
Domain Name | True | string |
O nome de domínio |
|
O período de olhar para trás em horas a serem pesquisadas, o padrão é 24 horas.
|
lookBackHours | integer |
O período de olhar para trás em horas a serem pesquisadas, o padrão é 24 horas. |
Retornos
Uma única entidade de estatísticas de endereço ip
- Estatísticas de Domínio
- DomainStats
Investigação Avançada
Executar uma consulta personalizada no Windows Defender ATP
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Query
|
Query | True | string |
A consulta a ser executada |
Retornos
Ips – Obter as estatísticas do endereço ip especificado
Recupere as estatísticas do Windows Defender ATP relacionadas a um determinado endereço ip, fornecidas no formato ipv4 ou ipv6.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
O endereço ip
|
Ip Address | True | string |
O endereço ip |
|
O período de olhar para trás em horas a serem pesquisadas, o padrão é 24 horas.
|
lookBackHours | integer |
O período de olhar para trás em horas a serem pesquisadas, o padrão é 24 horas. |
Retornos
Uma única entidade de estatísticas de endereço ip
- Estatísticas de Ip
- IpStats
RemediationActivities – Obter atividade de correção única (versão prévia)
Recuperar do Windows Defender ATP uma atividade de correção específica
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID da atividade de correção
|
RemediationID | True | string |
O identificador da atividade de correção a ser recuperada |
Retornos
Uma única entidade de atividade de correção
- Atividade de correção
- RemediationActivity
Tarefas de correção – Obter lista de atividades de correção (versão prévia)
Recuperar do Windows Defender ATP as atividades de remedição
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Resultados dos filtros
|
$filter | string |
Filtra os resultados usando a sintaxe OData. |
|
|
Seleciona propriedades
|
$select | string |
Seleciona quais propriedades incluir na resposta, o padrão é para todos. |
|
|
Classifica os resultados
|
$orderby | string |
Classifica os resultados. |
|
|
Retorna os primeiros resultados
|
$top | integer |
Retorna apenas os primeiros n resultados. |
|
|
Ignora os primeiros resultados
|
$skip | integer |
Ignora os primeiros n resultados. |
|
|
Inclui contagem
|
$count | boolean |
Inclui uma contagem dos resultados correspondentes na resposta. |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de atividades de correção
|
@odata.count | integer |
O número de atividades de correção por esta consulta |
|
Atividades de correção
|
value | array of RemediationActivity |
As atividades de correção retornadas |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados caso haja mais resultados do que o solicitado |
Gatilhos
| Dispara quando uma nova atividade de correção é criada (versão prévia) |
Dispara quando uma nova atividade de correção é criada |
| Gatilhos – Disparar quando ocorrer um novo alerta WDATP |
Assinar alertas do Windows Defender ATP |
Dispara quando uma nova atividade de correção é criada (versão prévia)
Dispara quando uma nova atividade de correção é criada
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de atividades de correção
|
@odata.count | integer |
O número de atividades de correção por esta consulta |
|
Atividades de correção
|
value | array of RemediationActivity |
As atividades de correção retornadas |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados caso haja mais resultados do que o solicitado |
Gatilhos – Disparar quando ocorrer um novo alerta WDATP
Definições
Alerta
Uma única entidade de alerta
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID do alerta
|
id | string |
Identificador de alerta |
|
ID do Incidente
|
incidentId | integer |
A ID do incidente |
|
ID de investigação
|
investigationId | integer |
A ID da investigação |
|
Severidade do alerta
|
severity | string |
Severidade do alerta |
|
Situação
|
status | string |
Status do alerta |
|
Description
|
description | string |
Descrição do alerta |
|
Hora de criação do alerta
|
alertCreationTime | date-time |
A hora em que o alerta foi criado |
|
Categoria
|
category | string |
Categoria de alerta |
|
Title
|
title | string |
Título do alerta |
|
Nome da família de ameaças
|
threatFamilyName | string |
Nome da família de ameaças |
|
Origem de deteção
|
detectionSource | string |
Origem de deteção |
|
Classification
|
classification | string |
Classificação de alertas |
|
Determinação
|
determination | string |
Determinação de alerta |
|
Atribuído a
|
assignedTo | string |
Pessoa à qual o alerta foi atribuído |
|
Tempo resolvido
|
resolvedTime | string |
A hora em que o alerta foi resolvido |
|
Hora do último evento
|
lastEventTime | date-time |
A hora do último evento relacionado ao alerta |
|
Hora do primeiro evento
|
firstEventTime | date-time |
A hora do primeiro evento relacionado ao alerta |
|
ID do computador
|
machineId | string |
O identificador do computador relacionado ao alerta |
Máquina
Uma única entidade de computador
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID do computador
|
id | string |
O identificador do computador |
|
Nome do computador
|
computerDnsName | string |
O nome do computador |
|
Visto pela primeira vez
|
firstSeen | date-time |
A hora do primeiro evento recebido pelo computador |
|
Visto pela última vez
|
lastSeen | date-time |
A hora do último evento recebido pelo computador |
|
Plataforma do sistema operacional
|
osPlatform | string |
A plataforma do sistema operacional do computador |
|
Versão do sistema operacional
|
osVersion | string |
A versão do sistema operacional do computador |
|
Nome do produto do sistema
|
systemProductName | date-time |
systemProductName |
|
Último endereço IP
|
lastIpAddress | string |
O último endereço IP do computador |
|
Último endereço IP externo
|
lastExternalIpAddress | string |
O último endereço IP externo do computador |
|
Versão do agente
|
agentVersion | string |
A versão do agente |
|
Compilação do sistema operacional
|
osBuild | integer |
A compilação do sistema operacional do computador |
|
Status de estado de funcionamento
|
healthStatus | string |
O status de integridade do computador |
|
A ID do Microsoft Entra está ingressada
|
isAadJoined | boolean |
Um sinalizador que indica se o computador está ingressado na ID do Microsoft Entra |
|
Marcas de computador
|
machineTags | array of string |
As marcas associadas ao computador |
|
ID do grupo RBAC
|
rbacGroupId | integer |
A ID do grupo RBAC ao qual o computador pertence |
|
Nome do grupo RBAC
|
rbacGroupName | string |
O nome do grupo RBAC ao qual o computador pertence |
|
Pontuação de risco
|
riskScore | string |
Uma pontuação que indica o quanto o computador está em risco |
|
ID do dispositivo Microsoft Entra ID
|
aadDeviceId | string |
aadDeviceId |
RemediationActivity
Uma única entidade de atividade de correção
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID da atividade de correção
|
id | string |
O identificador da atividade de correção |
|
Título da atividade de correção
|
title | string |
O título da ativação de correção |
|
Criado em
|
createdOn | date-time |
A hora em que a atividade de correção foi criada |
|
Status modificado pela última vez em
|
statusLastModifiedOn | date-time |
A hora em que o status foi modificado pela última vez |
|
ID do criador
|
requesterId | string |
A ID do criador da atividade de correção |
|
Email do criador
|
requesterEmail | string |
O endereço de email do criador da atividade de correção |
|
Situação
|
status | string |
o status da atividade de correção |
|
Description
|
description | string |
A descrição da atividade de correção |
|
Componente relacionado
|
relatedComponent | string |
O componente relacionado à atividade de correção |
|
Dispositivos de destino
|
targetDevices | integer |
O número de computadores de destino da atividade de correção |
|
Nomes de grupo rbac
|
rbacGroupNames | array of string |
Os nomes de grupo rbac associados à atividade de correção |
|
Dispositivos fixos
|
fixedDevices | integer |
O número de máquinas fixas da atividade de correção |
|
notas do criador
|
requesterNotes | string |
As notas do criador da atividade de remeidação |
|
Vencida em
|
dueOn | date-time |
O tempo de conclusão da atividade de correção |
|
Categoria
|
category | string |
a categoria de atividade de correção |
|
Tipo de correção de impacto de produtividade
|
productivityImpactRemediationType | string |
o tipo de impacto de produtividade de correção |
|
Priority
|
priority | string |
A prioridade da atividade de correção |
|
Método de conclusão
|
completionMethod | string |
O método de conclusão da atividade de correção |
|
ID do completer
|
completerId | string |
A ID do objeto completer da atividade de correção |
|
Email do completer
|
completerEmail | string |
O endereço de email do concluídor da atividade de correção |
|
ID de configuração de segurança
|
scid | string |
A ID de configuração de segurança da atividade de correção |
|
Tipo
|
type | string |
O tipo de atividade de correção |
|
ID do produto
|
productId | string |
ID do produto |
|
ID do fornecedor
|
vendorId | string |
ID do fornecedor |
|
ID do nome
|
nameId | string |
ID do nome |
|
Versão recomendada
|
recommendedVersion | string |
Versão recomendada |
|
Fornecedor recomendado
|
recommendedVendor | string |
Fornecedor recomendado |
|
Programa recomendado
|
recommendedProgram | string |
Programa recomendado |
|
Referência de recomendação
|
RecommendationReference | string |
Referência de recomendação |
MachineAction
Uma única entidade de ação do computador
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID da ação
|
id | string |
A ID da ação do computador |
|
Tipo de ação
|
type | string |
O tipo da ação (por exemplo, 'Isolate', 'CollectInvestigationPackage', ...) |
|
Requerente
|
requestor | string |
A pessoa que solicitou a ação do computador |
|
Comment
|
requestorComment | string |
O comentário associado à ação do computador |
|
Situação
|
status | string |
O status da ação do computador (por exemplo, 'InProgress') |
|
ID
|
machineId | string |
A ID do computador no qual a ação foi executada |
|
Data de criação
|
creationDateTimeUtc | date-time |
A hora UTC em que a ação foi solicitada |
|
Hora da última atualização
|
lastUpdateDateTimeUtc | date-time |
A última hora UTC em que a ação foi atualizada |
|
Commands
|
commands | array of LiveResponseCommandStatus |
Comandos de ação do computador de resposta ao vivo |
LiveResponseCommandStatus
Um único comando na entidade de ação do computador de Resposta Dinâmica
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Índice de comando
|
index | integer |
O índice do comando |
|
A hora de início da execução do comando
|
startTime | date-time |
A hora de início da execução do comando UTC |
|
A hora de término da execução do comando
|
endTime | date-time |
A hora de término da execução do comando UTC |
|
Status do comando
|
commandStatus | string |
O status da execução do comando (por exemplo, 'Concluído') |
|
Erros de comando
|
errors | array of string |
Lista de erros de execução de comando. Caso nenhum erro tenha sido relatado, essa será uma lista vazia. |
|
comando
|
command | LiveResponseCommand |
LiveResponseCommand
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Tipo de comando
|
type | string |
O tipo do comando |
|
Parâmetros de comando
|
params | array of object |
Lista de parâmetros de comando. |
|
Chave de parâmetro de comando
|
params.key | string |
A chave do parâmetro de comando |
|
Valor do parâmetro command
|
params.value | string |
O valor do parâmetro de comando |
FileStats
Uma única entidade de estatísticas de arquivo
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Sha1
|
sha1 | string |
A sha1 do arquivo |
|
Prevalência Global
|
globallyPrevalence | integer |
A prevalência global do arquivo. |
|
Observado pela primeira vez globalmente
|
globalFirstObserved | date-time |
A primeira vez que o arquivo foi observado globalmente. |
|
Última Observação Global
|
globalLastObserved | date-time |
A última vez que o arquivo foi observado. |
|
Prevalência da Organização
|
organizationPrevalence | integer |
A prevalência de arquivo em toda a organização |
|
Org First Observed
|
orgFirstSeen | date-time |
A primeira vez que o arquivo foi observado na organização. |
|
Org Last Observed
|
orgLastSeen | date-time |
A última vez que o arquivo foi observado na organização. |
|
Principais nomes de arquivo
|
topFileNames | array of string |
Os nomes de arquivo que este arquivo foi apresentado. |
IpStats
Uma única entidade de estatísticas de endereço ip
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Ip Adress
|
ipAddress | string |
O endereço ip |
|
Prevalência da Organização
|
organizationPrevalence | integer |
A prevalência de endereço ip em toda a organização |
|
Org First Observed
|
orgFirstSeen | date-time |
A primeira vez que o endereço ip foi observado na organização. |
|
Org Last Observed
|
orgLastSeen | date-time |
A última vez que o endereço ip foi observado na organização. |
DomainStats
Uma única entidade de estatísticas de endereço ip
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Host
|
host | string |
O host de domínio. |
|
Prevalência da Organização
|
organizationPrevalence | integer |
A prevalência de domínio em toda a organização |
|
Org First Observed
|
orgFirstSeen | date-time |
A primeira vez que o domínio foi observado na organização. |
|
Org Last Observed
|
orgLastSeen | date-time |
A última vez que o domínio foi observado na organização. |
Investigação
Uma única entidade de investigação
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID
|
id | string |
A ID da investigação |
|
Estado da investigação
|
state | string |
O estado da investigação (por exemplo, 'Benigno', 'Em execução', etc.) |
|
Detalhes do estado
|
statusDetails | string |
Detalhes sobre o status |
|
Nome do computador
|
computerDnsName | string |
O nome do computador |
|
ID do computador
|
machineId | string |
A ID do computador |
|
Hora de início
|
startTime | date-time |
A hora UTC em que a investigação foi iniciada |
|
Hora de término
|
endTime | date-time |
A hora UTC em que a investigação foi concluída |
WebHookNotification
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
ID do alerta
|
id | string | |
|
ID do computador
|
machineId | string |