Microsoft Defender ATP
O Microsoft Defender ATP é uma plataforma unificada para proteção preventiva, deteção pós-violação, investigação automatizada e resposta. Leia mais sobre isso aqui: http://aka.ms/wdatp
Este conector está disponível nos seguintes produtos e regiões:
| Serviço | Class | Regiões |
|---|---|---|
| Estúdio Copiloto | Premium | Todas as regiões do Power Automatic , exceto as seguintes: - China Cloud operado pela 21Vianet |
| Aplicações Lógicas | Standard | Todas as regiões do Logic Apps , exceto as seguintes: - Regiões do Azure China |
| Aplicações Power | Premium | Todas as regiões do Power Apps , exceto as seguintes: - China Cloud operado pela 21Vianet |
| Automatize o poder | Premium | Todas as regiões do Power Automatic , exceto as seguintes: - China Cloud operado pela 21Vianet |
| Contato | |
|---|---|
| Nome | Microsoft |
| URL |
Suporte do Microsoft LogicApps Microsoft Power Automate Suporte Suporte do Microsoft Power Apps |
| Metadados do conector | |
|---|---|
| Editora | Microsoft |
| Sítio Web | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
A criar uma ligação
O conector suporta os seguintes tipos de autenticação:
| Predefinição | Parâmetros para criar conexão. | Todas as regiões | Não compartilhável |
Padrão
Aplicável: Todas as regiões
Parâmetros para criar conexão.
Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
Limites de Limitação
| Name | Chamadas | Período de Renovação |
|---|---|---|
| Chamadas de API por conexão | 100 | 60 segundos |
Ações
| Alertas - Atualizar alerta |
Atualizar um alerta do Windows Defender ATP |
| Alertas - Criar alerta |
Criar alerta com base em evento específico |
| Alertas - Obter lista de alertas |
Recuperar do Windows Defender ATP os alertas mais recentes |
| Alertas - Receba um único alerta |
Recuperar do Windows Defender ATP um alerta específico |
| Arquivos - Obter as estatísticas para o arquivo fornecido |
Recuperar das estatísticas do Windows Defender ATP para um determinado arquivo para um determinado arquivo pelo identificador Sha1 ou Sha256 |
| Atividades de remediação - Obtenha uma única atividade de correção (Pré-visualização) |
Recuperar do Windows Defender ATP uma atividade de correção específica |
| Atividades de remediação - Obter lista de máquinas relacionadas (Pré-visualização) |
Recuperar do Windows Defender ATP as máquinas relacionadas para uma atividade de correção específica |
| Ações - Cancelar uma única ação de máquina |
Cancelar uma ação específica da máquina |
| Ações - Desisolar a máquina |
Desisolar uma máquina da rede |
| Ações - Executar resposta ao vivo |
Executar comandos de api de resposta ao vivo para uma única máquina |
| Ações - Executar verificação antivírus |
Iniciar a verificação do Windows Defender Antivírus em uma máquina |
| Ações - Iniciar investigação automatizada em uma máquina (Visualização) |
Iniciar investigação automatizada em uma máquina |
| Ações - Iniciar investigação em uma máquina (a ser preterida) |
Iniciar investigação em uma máquina |
| Ações - Isolar a máquina |
Isolar uma máquina da rede |
| Ações - Obtenha uma investigação única |
Recuperar do Microsoft Defender ATP uma investigação específica |
| Ações - Obter ação de máquina única |
Recuperar do Windows Defender ATP uma ação de máquina específica |
| Ações - Obter lista de ações da máquina |
Recuperar do Windows Defender ATP as ações mais recentes da máquina |
| Ações - Obter lista de investigação |
Recuperar do Microsoft Defender ATP as investigações mais recentes |
| Ações - Obter URI de download do pacote de investigação |
Obter um URI que permite o download de um pacote de investigação |
| Ações - Obter URI de download do resultado do comando de resposta ao vivo |
Obter URI de download de resultados para um comando de resposta ao vivo concluído |
| Ações - Recolher pacote de investigação |
Coletar pacote de investigação de uma máquina |
| Ações - Remover restrição de execução de aplicativos |
Permitir a execução de qualquer aplicação na máquina |
| Ações - Restringir a execução do aplicativo |
Restringir a execução de todos os aplicativos na máquina, exceto um conjunto predefinido |
| Domínios - Obter as estatísticas para o nome de domínio fornecido |
Recuperar estatísticas do Windows Defender ATP relacionadas a um determinado nome de domínio |
| Investigação Avançada |
Executar uma consulta personalizada no Windows Defender ATP |
| Ips - Obter as estatísticas para o endereço IP fornecido |
Recuperar a partir do Windows Defender ATP estatísticas relacionadas a um determinado endereço ip - fornecido no formato ipv4 ou ipv6. |
| Máquinas - Máquina de etiquetas |
Adicionar ou remover uma etiqueta de/para uma máquina |
| Máquinas - Obtenha uma única máquina |
Recuperar do Windows Defender ATP uma máquina específica |
| Máquinas - Obter lista de máquinas |
Recuperar do Windows Defender ATP as máquinas mais recentes |
| Tarefas de correção - Obter lista de atividades de correção (Visualização) |
Recuperar do Windows Defender ATP as atividades de remdiação |
Alertas - Atualizar alerta
Atualizar um alerta do Windows Defender ATP
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do alerta
|
Alert ID | True | string |
O identificador do alerta a atualizar |
|
Situação
|
status | string |
Estado do alerta. Um dos 'Novos', 'InProgress' e 'Resolvidos' |
|
|
Atribuído a
|
assignedTo | string |
Pessoa à qual atribuir o alerta |
|
|
Classification
|
classification | string |
Classificação do alerta. Um de 'Unknown', 'FalsePositive', 'TruePositive' |
|
|
Determinação
|
determination | string |
A determinação do alerta. Um de 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other' |
Devoluções
Uma entidade de alerta única
- Alert
- Alert
Alertas - Criar alerta
Criar alerta com base em evento específico
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
machineId | True | string |
ID da máquina na qual o evento foi identificado |
|
ID do relatório
|
reportId | True | integer |
ID do relatório do evento |
|
Hora do Evento
|
eventTime | True | string |
Hora do evento como string, por exemplo, 2018-08-03T16:45:21.7115183Z |
|
Severity
|
severity | True | string |
Gravidade do alerta. |
|
Categoria
|
category | True | string |
Categoria da indicação |
|
Title
|
title | True | string |
Título do alerta |
|
Description
|
description | True | string |
Descrição do alerta |
|
Ação recomendada
|
recommendedAction | True | string |
Ação recomendada para o Alerta |
Devoluções
Uma entidade de alerta única
- Alert
- Alert
Alertas - Obter lista de alertas
Recuperar do Windows Defender ATP os alertas mais recentes
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Expande entidades
|
$expand | string |
Expande entidades relacionadas em linha. |
|
|
Filtra os resultados
|
$filter | string |
Filtra os resultados, usando a sintaxe OData. |
|
|
Seleciona propriedades
|
$select | string |
Seleciona quais propriedades incluir na resposta, o padrão é todas. |
|
|
Classifica os resultados
|
$orderby | string |
Classifica os resultados. |
|
|
Devolve os primeiros resultados
|
$top | integer |
Devolve apenas os primeiros n resultados. |
|
|
Ignora os primeiros resultados
|
$skip | integer |
Ignora os primeiros n resultados. |
|
|
Inclui contagem
|
$count | boolean |
Inclui uma contagem dos resultados correspondentes na resposta. |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de alertas
|
@odata.count | integer |
O número de alertas disponíveis por esta consulta |
|
Alertas
|
value | array of Alert |
Os alertas retornados |
|
Ligação seguinte
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Alertas - Receba um único alerta
Recuperar do Windows Defender ATP um alerta específico
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do alerta
|
Alert ID | True | string |
O identificador do alerta a recuperar |
Devoluções
Uma entidade de alerta única
- Alert
- Alert
Arquivos - Obter as estatísticas para o arquivo fornecido
Recuperar das estatísticas do Windows Defender ATP para um determinado arquivo para um determinado arquivo pelo identificador Sha1 ou Sha256
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
O identificador do ficheiro - Sha1 ou Sha256
|
File ID | True | string |
O identificador do ficheiro - Sha1 ou Sha256 |
|
O período de retrospetiva em horas para olhar, o padrão é 24 horas.
|
lookBackHours | integer |
O período de retrospetiva em horas para olhar, o padrão é 24 horas. |
Devoluções
Uma entidade de estatísticas de arquivo único
- Estatísticas de arquivo
- FileStats
Atividades de remediação - Obtenha uma única atividade de correção (Pré-visualização)
Recuperar do Windows Defender ATP uma atividade de correção específica
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da atividade de remediação
|
RemediationID | True | string |
O identificador da atividade de correção a ser recuperada |
Devoluções
Uma única entidade de atividade de remediação
- Atividade de remediação
- RemediationActivity
Atividades de remediação - Obter lista de máquinas relacionadas (Pré-visualização)
Recuperar do Windows Defender ATP as máquinas relacionadas para uma atividade de correção específica
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da atividade de remediação
|
RemediationID | True | string |
O identificador da atividade de correção a ser recuperada |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de máquinas
|
@odata.count | integer |
O número de máquinas disponíveis por esta consulta |
|
Machines
|
value | array of Machine |
As máquinas voltaram |
|
Ligação seguinte
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Ações - Cancelar uma única ação de máquina
Cancelar uma ação específica da máquina
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da ação da máquina
|
Machine Action ID | True | string |
O identificador da ação da máquina para cancelar |
|
Comment
|
Comment | True | string |
Um comentário para associar ao cancelamento da ação da máquina |
Devoluções
Uma entidade de ação de máquina única
- Ação Automática
- MachineAction
Ações - Desisolar a máquina
Desisolar uma máquina da rede
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
Machine ID | True | string |
O ID da máquina para desisolar |
|
Comment
|
Comment | True | string |
Um comentário para associar ao desisolamento |
Devoluções
Uma entidade de ação de máquina única
- Ação Automática
- MachineAction
Ações - Executar resposta ao vivo
Executar comandos de api de resposta ao vivo para uma única máquina
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
Machine ID | True | string |
O ID da máquina para executar a sessão de resposta ao vivo em |
|
Comment
|
Comment | True | string |
Um comentário para associar ao isolamento |
|
Tipo de comando
|
type | True | string |
O tipo do comando |
|
Tecla de parâmetro de comando
|
key | string |
A chave do parâmetro de comando |
|
|
Valor do parâmetro de comando
|
value | string |
O valor do parâmetro command |
Devoluções
Uma entidade de ação de máquina única
- Ação Automática
- MachineAction
Ações - Executar verificação antivírus
Iniciar a verificação do Windows Defender Antivírus em uma máquina
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
Machine ID | True | string |
O ID da máquina a digitalizar |
|
Comment
|
Comment | True | string |
Um comentário para associar à solicitação de verificação |
|
Tipo de varredura
|
ScanType | True | string |
Tipo de verificação a ser executada. Os valores permitidos são 'Rápido' ou 'Completo' |
Devoluções
Uma entidade de ação de máquina única
- Ação Automática
- MachineAction
Ações - Iniciar investigação automatizada em uma máquina (Visualização)
Iniciar investigação automatizada em uma máquina
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
Machine ID | True | string |
O ID da máquina a investigar |
|
Comment
|
Comment | True | string |
Um comentário a associar à investigação |
Devoluções
Uma única entidade de investigação
- Investigação
- Investigation
Ações - Iniciar investigação em uma máquina (a ser preterida)
Iniciar investigação em uma máquina
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
Machine ID | True | string |
O ID da máquina a investigar |
|
Comment
|
Comment | True | string |
Um comentário a associar à investigação |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID da investigação
|
value | string |
O ID da investigação |
Ações - Isolar a máquina
Isolar uma máquina da rede
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
Machine ID | True | string |
O ID da máquina a isolar |
|
Comment
|
Comment | True | string |
Um comentário para associar ao isolamento |
|
Tipo de isolamento
|
IsolationType | True | string |
Tipo de isolamento. Os valores permitidos são 'Completo' (para isolamento total) ou 'Seletivo' (para restringir apenas um conjunto limitado de aplicativos de acessar a rede) |
Devoluções
Uma entidade de ação de máquina única
- Ação Automática
- MachineAction
Ações - Obtenha uma investigação única
Recuperar do Microsoft Defender ATP uma investigação específica
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do inquérito
|
Investigation ID | True | string |
O identificador da investigação a recuperar |
Devoluções
Uma única entidade de investigação
- Investigação
- Investigation
Ações - Obter ação de máquina única
Recuperar do Windows Defender ATP uma ação de máquina específica
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da ação da máquina
|
Machine Action ID | True | string |
O identificador da ação da máquina a ser recuperada |
Devoluções
Uma entidade de ação de máquina única
- Ação Automática
- MachineAction
Ações - Obter lista de ações da máquina
Recuperar do Windows Defender ATP as ações mais recentes da máquina
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Filtra os resultados
|
$filter | string |
Filtra os resultados, usando a sintaxe OData. |
|
|
Seleciona propriedades
|
$select | string |
Seleciona quais propriedades incluir na resposta, o padrão é todas. |
|
|
Classifica os resultados
|
$orderby | string |
Classifica os resultados. |
|
|
Devolve os primeiros resultados
|
$top | integer |
Devolve apenas os primeiros n resultados. |
|
|
Ignora os primeiros resultados
|
$skip | integer |
Ignora os primeiros n resultados. |
|
|
Inclui contagem
|
$count | boolean |
Inclui uma contagem dos resultados correspondentes na resposta. |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de ações da máquina
|
@odata.count | integer |
O número de ações de máquina disponíveis por esta consulta |
|
Ações da máquina
|
value | array of MachineAction |
As ações da máquina retornaram |
|
Ligação seguinte
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Ações - Obter lista de investigação
Recuperar do Microsoft Defender ATP as investigações mais recentes
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Filtra os resultados
|
$filter | string |
Filtra os resultados, usando a sintaxe OData. |
|
|
Seleciona propriedades
|
$select | string |
Seleciona quais propriedades incluir na resposta, o padrão é todas. |
|
|
Classifica os resultados
|
$orderby | string |
Classifica os resultados. |
|
|
Devolve os primeiros resultados
|
$top | integer |
Devolve apenas os primeiros n resultados. |
|
|
Ignora os primeiros resultados
|
$skip | integer |
Ignora os primeiros n resultados. |
|
|
Inclui contagem
|
$count | boolean |
Inclui uma contagem dos resultados correspondentes na resposta. |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de investigações
|
@odata.count | integer |
O número de investigações disponíveis por esta consulta |
|
Investigações
|
value | array of Investigation |
As investigações voltaram |
|
Ligação seguinte
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Ações - Obter URI de download do pacote de investigação
Obter um URI que permite o download de um pacote de investigação
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da ação
|
Machine action ID | True | string |
A ID da coleção do pacote de investigação |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
URI SAS do pacote
|
value | string |
O pacote de investigação SAS URI |
Ações - Obter URI de download do resultado do comando de resposta ao vivo
Obter URI de download de resultados para um comando de resposta ao vivo concluído
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da ação da máquina
|
Machine Action ID | True | string |
O identificador da ação da máquina |
|
Índice do comando de resposta ao vivo
|
Command Index | True | integer |
O índice do comando de resposta ao vivo para obter os resultados baixar URI para |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Baixar URI
|
value | string |
O URI de download do comando de resposta ao vivo |
Ações - Recolher pacote de investigação
Coletar pacote de investigação de uma máquina
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
Machine ID | True | string |
O ID da máquina para coletar a investigação de |
|
Comment
|
Comment | True | string |
Um comentário para associar à coleção |
Devoluções
Uma entidade de ação de máquina única
- Ação Automática
- MachineAction
Ações - Remover restrição de execução de aplicativos
Permitir a execução de qualquer aplicação na máquina
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
Machine ID | True | string |
O ID da máquina para desrestringir |
|
Comment
|
Comment | True | string |
Um comentário para associar à remoção da restrição |
Devoluções
Uma entidade de ação de máquina única
- Ação Automática
- MachineAction
Ações - Restringir a execução do aplicativo
Restringir a execução de todos os aplicativos na máquina, exceto um conjunto predefinido
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
Machine ID | True | string |
O ID da máquina a restringir |
|
Comment
|
Comment | True | string |
Um comentário para associar à restrição |
Devoluções
Uma entidade de ação de máquina única
- Ação Automática
- MachineAction
Domínios - Obter as estatísticas para o nome de domínio fornecido
Recuperar estatísticas do Windows Defender ATP relacionadas a um determinado nome de domínio
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
O nome de domínio
|
Domain Name | True | string |
O nome de domínio |
|
O período de retrospetiva em horas para olhar, o padrão é 24 horas.
|
lookBackHours | integer |
O período de retrospetiva em horas para olhar, o padrão é 24 horas. |
Devoluções
Uma única entidade de estatísticas de endereço IP
- Estatísticas de Domínio
- DomainStats
Investigação Avançada
Executar uma consulta personalizada no Windows Defender ATP
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Query
|
Query | True | string |
A consulta a ser executada |
Devoluções
Ips - Obter as estatísticas para o endereço IP fornecido
Recuperar a partir do Windows Defender ATP estatísticas relacionadas a um determinado endereço ip - fornecido no formato ipv4 ou ipv6.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
O endereço ip
|
Ip Address | True | string |
O endereço ip |
|
O período de retrospetiva em horas para olhar, o padrão é 24 horas.
|
lookBackHours | integer |
O período de retrospetiva em horas para olhar, o padrão é 24 horas. |
Devoluções
Uma única entidade de estatísticas de endereço IP
- Estatísticas Ip
- IpStats
Máquinas - Máquina de etiquetas
Adicionar ou remover uma etiqueta de/para uma máquina
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
Machine ID | True | string |
O ID da máquina à qual a tag deve ser adicionada ou removida |
|
Valor
|
Value | True | string |
A tag a ser adicionada ou removida |
|
Ação
|
Action | True | string |
A ação a ser executada. O valor deve ser um de 'Adicionar' (para adicionar uma tag) ou 'Remover' (para remover uma tag) |
Devoluções
Uma entidade de máquina única
- Máquina
- Machine
Máquinas - Obtenha uma única máquina
Recuperar do Windows Defender ATP uma máquina específica
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da máquina
|
Machine ID | True | string |
O identificador da máquina a ser recuperada |
Devoluções
Uma entidade de máquina única
- Máquina
- Machine
Máquinas - Obter lista de máquinas
Recuperar do Windows Defender ATP as máquinas mais recentes
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Filtra os resultados
|
$filter | string |
Filtra os resultados, usando a sintaxe OData. |
|
|
Seleciona propriedades
|
$select | string |
Seleciona quais propriedades incluir na resposta, o padrão é todas. |
|
|
Classifica os resultados
|
$orderby | string |
Classifica os resultados. |
|
|
Devolve os primeiros resultados
|
$top | integer |
Devolve apenas os primeiros n resultados. |
|
|
Ignora os primeiros resultados
|
$skip | integer |
Ignora os primeiros n resultados. |
|
|
Inclui contagem
|
$count | boolean |
Inclui uma contagem dos resultados correspondentes na resposta. |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de máquinas
|
@odata.count | integer |
O número de máquinas disponíveis por esta consulta |
|
Machines
|
value | array of Machine |
As máquinas voltaram |
|
Ligação seguinte
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Tarefas de correção - Obter lista de atividades de correção (Visualização)
Recuperar do Windows Defender ATP as atividades de remdiação
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Filtra os resultados
|
$filter | string |
Filtra os resultados, usando a sintaxe OData. |
|
|
Seleciona propriedades
|
$select | string |
Seleciona quais propriedades incluir na resposta, o padrão é todas. |
|
|
Classifica os resultados
|
$orderby | string |
Classifica os resultados. |
|
|
Devolve os primeiros resultados
|
$top | integer |
Devolve apenas os primeiros n resultados. |
|
|
Ignora os primeiros resultados
|
$skip | integer |
Ignora os primeiros n resultados. |
|
|
Inclui contagem
|
$count | boolean |
Inclui uma contagem dos resultados correspondentes na resposta. |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de atividades de remediação
|
@odata.count | integer |
O número de atividades de correção por esta consulta |
|
Atividades de reparação dos danos
|
value | array of RemediationActivity |
As atividades de remediação retornaram |
|
Ligação seguinte
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Acionadores
| Aciona quando uma nova atividade de correção é criada (Visualização) |
Aciona quando uma nova atividade de correção é criada |
| Gatilhos - Gatilho quando ocorre um novo alerta WDATP |
Subscrever alertas do Windows Defender ATP |
Aciona quando uma nova atividade de correção é criada (Visualização)
Aciona quando uma nova atividade de correção é criada
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de atividades de remediação
|
@odata.count | integer |
O número de atividades de correção por esta consulta |
|
Atividades de reparação dos danos
|
value | array of RemediationActivity |
As atividades de remediação retornaram |
|
Ligação seguinte
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Gatilhos - Gatilho quando ocorre um novo alerta WDATP
Definições
Alert
Uma entidade de alerta única
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID do alerta
|
id | string |
Identificador de alerta |
|
ID do incidente
|
incidentId | integer |
A identificação do incidente |
|
ID da investigação
|
investigationId | integer |
O ID da investigação |
|
Severidade do alerta
|
severity | string |
Severidade do alerta |
|
Situação
|
status | string |
Estado da indicação |
|
Description
|
description | string |
Descrição do alerta |
|
Tempo de criação do alerta
|
alertCreationTime | date-time |
A hora em que o alerta foi criado |
|
Categoria
|
category | string |
Categoria de alerta |
|
Title
|
title | string |
Título do alerta |
|
Nome de família da ameaça
|
threatFamilyName | string |
Nome de família da ameaça |
|
Origem de deteção
|
detectionSource | string |
Origem de deteção |
|
Classification
|
classification | string |
Classificação de alertas |
|
Determinação
|
determination | string |
Determinação de alerta |
|
Atribuído a
|
assignedTo | string |
Pessoa a quem o alerta foi atribuído |
|
Tempo resolvido
|
resolvedTime | string |
A hora em que o alerta foi resolvido |
|
Hora do último evento
|
lastEventTime | date-time |
A hora do último evento relacionado com o alerta |
|
Hora do primeiro evento
|
firstEventTime | date-time |
A hora do primeiro evento relacionado com o alerta |
|
ID da máquina
|
machineId | string |
O identificador da máquina relacionado com o alerta |
Máquina
Uma entidade de máquina única
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID da máquina
|
id | string |
O identificador da máquina |
|
Nome do computador
|
computerDnsName | string |
O nome do computador |
|
Visto pela primeira vez
|
firstSeen | date-time |
A hora do primeiro evento recebido pela máquina |
|
Visto pela última vez
|
lastSeen | date-time |
A hora do último evento recebido pela máquina |
|
Plataforma de SO
|
osPlatform | string |
A plataforma de SO da máquina |
|
Versão do Sistema Operativo
|
osVersion | string |
A versão do SO da máquina |
|
Nome do produto do sistema
|
systemProductName | date-time |
systemProductName |
|
Último endereço IP
|
lastIpAddress | string |
O último endereço IP da máquina |
|
Último endereço IP externo
|
lastExternalIpAddress | string |
O último endereço IP externo da máquina |
|
Versão do agente
|
agentVersion | string |
A versão do agente |
|
Compilação do SO
|
osBuild | integer |
A compilação do SO da máquina |
|
Estado de saúde
|
healthStatus | string |
O estado de saúde da máquina |
|
O Microsoft Entra ID aderiu
|
isAadJoined | boolean |
Um sinalizador que indica se a máquina está associada ao Microsoft Entra ID |
|
Etiquetas de máquina
|
machineTags | array of string |
As tags associadas à máquina |
|
ID do grupo RBAC
|
rbacGroupId | integer |
A ID do grupo RBAC ao qual a máquina pertence |
|
Nome do grupo RBAC
|
rbacGroupName | string |
O nome do grupo RBAC ao qual a máquina pertence |
|
Pontuação de risco
|
riskScore | string |
Uma pontuação que indica o quanto a máquina está em risco |
|
ID do dispositivo Microsoft Entra ID
|
aadDeviceId | string |
aadDeviceId |
RemediaçãoAtividade
Uma única entidade de atividade de remediação
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID da atividade de correção
|
id | string |
O identificador da atividade de correção |
|
Título da atividade de remediação
|
title | string |
O título da atividade de reparação dos danos |
|
Criado a
|
createdOn | date-time |
O momento em que a atividade de remediação foi criada |
|
Estado modificado pela última vez em
|
statusLastModifiedOn | date-time |
A hora em que o status foi modificado pela última vez |
|
ID do criador
|
requesterId | string |
O id do criador da atividade de remediação |
|
E-mail do criador
|
requesterEmail | string |
O endereço de e-mail do criador da atividade de remediação |
|
Situação
|
status | string |
o status da atividade de remediação |
|
Description
|
description | string |
A descrição da atividade de remediação |
|
Componente relacionada
|
relatedComponent | string |
O componente relacionado à atividade de remediação |
|
Dispositivos alvo
|
targetDevices | integer |
O número de máquinas de destino da atividade de remediação |
|
Nomes de grupos Rbac
|
rbacGroupNames | array of string |
Os nomes do grupo rbac associados à atividade de remediação |
|
Dispositivos fixos
|
fixedDevices | integer |
O número de máquinas fixas da atividade de remediação |
|
Notas do criador
|
requesterNotes | string |
As notas do criador da atividade de correção |
|
Data de vencimento
|
dueOn | date-time |
O tempo devido para a atividade de remediação |
|
Categoria
|
category | string |
a categoria de atividade de remediação |
|
Tipo de remediação de impacto na produtividade
|
productivityImpactRemediationType | string |
o tipo de impacto de produtividade de remediação |
|
Priority
|
priority | string |
A prioridade da atividade de remediação |
|
Método de conclusão
|
completionMethod | string |
O método de conclusão da atividade de remediação |
|
ID completo
|
completerId | string |
A id do objeto completer da atividade de correção |
|
E-mail completo
|
completerEmail | string |
O endereço de e-mail completo da atividade de remediação |
|
ID de configuração de segurança
|
scid | string |
O id de configuração de segurança da atividade de correção |
|
Tipo
|
type | string |
O tipo de atividade de remediação |
|
Identificação do produto
|
productId | string |
ID do Produto |
|
ID do fornecedor
|
vendorId | string |
ID do fornecedor |
|
ID do nome
|
nameId | string |
ID do nome |
|
Versão recomendada
|
recommendedVersion | string |
Versão recomendada |
|
Fornecedor recomendado
|
recommendedVendor | string |
Fornecedor recomendado |
|
Programa recomendado
|
recommendedProgram | string |
Programa recomendado |
|
Referência da recomendação
|
RecommendationReference | string |
Referência da recomendação |
MachineAction
Uma entidade de ação de máquina única
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID da ação
|
id | string |
O ID da ação da máquina |
|
Tipo de ação
|
type | string |
O tipo de ação (por exemplo, «Isolar», «CollectInvestigationPackage», ...) |
|
Requerente
|
requestor | string |
A pessoa que solicitou a ação da máquina |
|
Comment
|
requestorComment | string |
O comentário associado à ação da máquina |
|
Situação
|
status | string |
O status da ação da máquina (por exemplo, 'InProgress') |
|
ID
|
machineId | string |
A ID da máquina na qual a ação foi executada |
|
Tempo de criação
|
creationDateTimeUtc | date-time |
A hora UTC em que a ação foi solicitada |
|
Hora da última atualização
|
lastUpdateDateTimeUtc | date-time |
A última hora UTC em que a ação foi atualizada |
|
Commands
|
commands | array of LiveResponseCommandStatus |
Comandos de ação da máquina de resposta em tempo real |
LiveResponseCommandStatus
Um único comando na entidade de ação da máquina de resposta ao vivo
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Índice de comandos
|
index | integer |
O índice do comando |
|
A hora de início da execução do comando
|
startTime | date-time |
A hora de início da execução do comando UTC |
|
A hora de término da execução do comando
|
endTime | date-time |
A hora de término da execução do comando UTC |
|
Status do comando
|
commandStatus | string |
O status da execução do comando (por exemplo, 'Concluído') |
|
Erros de comando
|
errors | array of string |
Lista de erros de execução de comando. Caso não sejam reportados erros, esta será uma lista vazia. |
|
comando
|
command | LiveResponseCommand |
LiveResponseCommand
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Tipo de comando
|
type | string |
O tipo do comando |
|
Params de comando
|
params | array of object |
Lista de parâmetros de comando. |
|
Tecla de parâmetro de comando
|
params.key | string |
A chave do parâmetro de comando |
|
Valor do parâmetro de comando
|
params.value | string |
O valor do parâmetro command |
FileStats
Uma entidade de estatísticas de arquivo único
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Sha1
|
sha1 | string |
O sha1 do arquivo |
|
Prevalência Global
|
globallyPrevalence | integer |
A prevalência global do arquivo. |
|
Observado globalmente pela primeira vez
|
globalFirstObserved | date-time |
A primeira vez que o arquivo foi observado globalmente. |
|
Globalmente observado pela última vez
|
globalLastObserved | date-time |
A última vez que o arquivo foi observado. |
|
Prevalência organizacional
|
organizationPrevalence | integer |
A prevalência de arquivos em toda a organização |
|
Org Observado pela Primeira Vez
|
orgFirstSeen | date-time |
A primeira vez que o arquivo foi observado na organização. |
|
Org Observado pela Última Vez
|
orgLastSeen | date-time |
A última vez que o arquivo foi observado na organização. |
|
Principais nomes de arquivos
|
topFileNames | array of string |
Os nomes de arquivo que esse arquivo foi apresentado. |
IpStats
Uma única entidade de estatísticas de endereço IP
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Endereço IP
|
ipAddress | string |
O endereço ip |
|
Prevalência organizacional
|
organizationPrevalence | integer |
A prevalência do endereço IP em toda a organização |
|
Org Observado pela Primeira Vez
|
orgFirstSeen | date-time |
A primeira vez que o endereço IP foi observado na organização. |
|
Org Observado pela Última Vez
|
orgLastSeen | date-time |
A última vez que o endereço IP foi observado na organização. |
DomainStats
Uma única entidade de estatísticas de endereço IP
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Host
|
host | string |
O host de domínio. |
|
Prevalência organizacional
|
organizationPrevalence | integer |
A prevalência do domínio em toda a organização |
|
Org Observado pela Primeira Vez
|
orgFirstSeen | date-time |
A primeira vez que o domínio foi observado na organização. |
|
Org Observado pela Última Vez
|
orgLastSeen | date-time |
A última vez que o domínio foi observado na organização. |
Investigação
Uma única entidade de investigação
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID
|
id | string |
O ID da investigação |
|
Estado da investigação
|
state | string |
O estado da investigação (por exemplo, «Benigno», «Em execução», etc.) |
|
Detalhes do status
|
statusDetails | string |
Detalhes sobre o status |
|
Nome do computador
|
computerDnsName | string |
O nome do computador |
|
ID da máquina
|
machineId | string |
O ID da máquina |
|
Hora de início
|
startTime | date-time |
A hora UTC em que a investigação foi iniciada |
|
Hora de fim
|
endTime | date-time |
A hora UTC em que a investigação foi concluída |
WebHookNotification
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID do alerta
|
id | string | |
|
ID da máquina
|
machineId | string |