Microsoft Defender ATP
Microsoft Defender ATP 是用於預防性保護、違規後偵測、自動化調查和回應的統一平臺。 在這裡閱讀更多關於它的信息: http://aka.ms/wdatp
此連接器適用於以下產品和區域:
| 服務 | Class | Regions |
|---|---|---|
| 副駕駛工作室 | 進階 | 除下列區域外的所有 Power Automate 區域 : - 由 21Vianet 營運的中國雲 |
| 邏輯應用程式 | 標準 | 所有 Logic Apps 區域, 但下列區域除外: - Azure 中國區域 |
| Power Apps | 進階 | 除下列區域外的所有 Power Apps 區域 : - 由 21Vianet 營運的中國雲 |
| Power Automate(自動化服務) | 進階 | 除下列區域外的所有 Power Automate 區域 : - 由 21Vianet 營運的中國雲 |
| 連絡人 | |
|---|---|
| 名稱 | Microsoft |
| URL |
Microsoft LogicApps 支援 Microsoft Power Automate 支援 Microsoft Power Apps 支援 |
| 連接器中繼資料 | |
|---|---|
| Publisher | Microsoft |
| 網站 | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
正在建立連線
連接器支援下列驗證類型:
| 預設值 | 建立連線的參數。 | 所有區域 | 不可共享 |
預設
適用:所有地區
建立連線的參數。
這不是可共用的連線。 如果 Power App 與其他使用者共用,系統會明確提示其他使用者建立新連線。
節流限制
| 名稱 | 呼叫 | 續約期間 |
|---|---|---|
| 每個連線的 API 呼叫 | 100 | 60 秒 |
動作
| ips — 獲取給定 IP 地址的統計信息 |
從 Windows Defender ATP 統計資料擷取與指定 IP 位址相關的統計資料 - 以 ipv4 或 ipv6 格式提供。 |
|
Remediation |
從 Windows Defender ATP 擷取特定補救活動 |
| 動作 - 取得即時回應命令結果下載 URI |
取得已完成即時回應命令的結果下載 URI |
| 動作 - 取得單一調查 |
從 Microsoft Defender ATP 擷取特定調查 |
| 動作 - 取得單一電腦動作 |
從 Windows Defender ATP 擷取特定電腦動作 |
| 動作 - 取得調查套件下載 URI |
取得允許下載調查套件的 URI |
| 動作 - 取得調查清單 |
從 Microsoft Defender ATP 擷取最新的調查 |
| 動作 - 取得電腦動作清單 |
從 Windows Defender ATP 擷取最新的計算機動作 |
| 動作 - 取消單一電腦動作 |
取消特定電腦動作 |
| 動作 - 單孤立機 |
將電腦與網路隔離 |
| 動作 - 在計算機上啟動自動化調查 (預覽版) |
在電腦上啟動自動化調查 |
| 動作 - 在電腦上起始調查 (即將棄用) |
在電腦上起始調查 |
| 動作 - 執行即時回應 |
針對單一機器執行即時回應 API 命令 |
| 動作 - 執行防毒掃描 |
在計算機上啟動 Windows Defender 防病毒軟件掃描 |
| 動作 - 收集調查套件 |
從電腦收集調查套件 |
| 動作 - 移除應用程式執行限制 |
啟用電腦上任何應用程式的執行 |
| 動作 - 限制應用程式執行 |
限制電腦上所有應用程式的執行,但預先定義的集合除外 |
| 動作 - 隔離機器 |
將電腦與網路隔離 |
| 機器 - 取得單一機器 |
從 Windows Defender ATP 擷取特定電腦 |
| 機器 - 取得機器清單 |
從 Windows Defender ATP 擷取最新的電腦 |
| 機器 - 標籤機 |
在電腦中新增或移除標籤 |
| 檔案 - 取得指定檔案的統計資料 |
依識別碼 Sha1 或 Sha256 從指定檔案的 Windows Defender ATP 統計資料擷取至指定檔案 |
| 網域 - 取得指定網域名稱的統計資料 |
從 Windows Defender ATP 統計資料擷取與指定網域名稱相關的 |
| 補救工作 - 取得補救活動清單 (預覽版) |
從 Windows Defender ATP 擷取重新處理活動 |
| 補救活動 - 取得相關電腦清單 (預覽版) |
從 Windows Defender ATP 擷取特定補救活動的相關電腦 |
| 警報 - 獲取單一警報 |
從 Windows Defender ATP 擷取特定警示 |
| 警報 - 獲取警報列表 |
從 Windows Defender ATP 擷取最新的警示 |
| 警示 - 建立警示 |
根據特定事件建立警示 |
| 警示 - 更新警示 |
更新 Windows Defender ATP 警示 |
| 進階搜捕 |
在 Windows Defender ATP 中執行自訂查詢 |
ips — 獲取給定 IP 地址的統計信息
從 Windows Defender ATP 統計資料擷取與指定 IP 位址相關的統計資料 - 以 ipv4 或 ipv6 格式提供。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
IP 位址
|
Ip Address | True | string |
IP 位址 |
|
回顧期間(以小時為單位),預設為 24 小時。
|
lookBackHours | integer |
回顧期間(以小時為單位),預設為 24 小時。 |
傳回
單一 IP 位址統計資料實體
- IP 統計
- IpStats
RemediationActivities - 取得單一補救活動 (預覽版)
從 Windows Defender ATP 擷取特定補救活動
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
補救活動的識別碼
|
RemediationID | True | string |
要擷取的補救活動識別碼 |
傳回
單一補救活動實體
- 補救活動
- RemediationActivity
動作 - 取得即時回應命令結果下載 URI
取得已完成即時回應命令的結果下載 URI
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
機器動作的 ID
|
Machine Action ID | True | string |
機器動作的識別碼 |
|
即時回應指令的索引
|
Command Index | True | integer |
即時回應命令的索引,以取得結果下載 URI |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
下載 URI
|
value | string |
即時回應指令下載 URI |
動作 - 取得單一調查
從 Microsoft Defender ATP 擷取特定調查
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
調查的 ID
|
Investigation ID | True | string |
要擷取的調查識別碼 |
傳回
單一調查實體
動作 - 取得單一電腦動作
從 Windows Defender ATP 擷取特定電腦動作
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
機器動作的 ID
|
Machine Action ID | True | string |
要擷取的機器動作識別碼 |
傳回
單一機器動作實體
- 電腦動作
- MachineAction
動作 - 取得調查套件下載 URI
取得允許下載調查套件的 URI
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
作ID
|
Machine action ID | True | string |
調查套件集合的識別碼 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
套件 SAS URI
|
value | string |
調查套件 SAS URI |
動作 - 取得調查清單
從 Microsoft Defender ATP 擷取最新的調查
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
篩選結果
|
$filter | string |
使用 OData 語法篩選結果。 |
|
|
選取屬性
|
$select | string |
選取要包含在回應中的屬性,預設為 all。 |
|
|
排序結果
|
$orderby | string |
排序結果。 |
|
|
傳回第一個結果
|
$top | integer |
只傳回前 n 個結果。 |
|
|
略過第一個結果
|
$skip | integer |
略過前 n 個結果。 |
|
|
包含計數
|
$count | boolean |
在回應中包含比對結果的計數。 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
調查很重要
|
@odata.count | integer |
此查詢的可用調查數目 |
|
調查
|
value | array of Investigation |
調查返回 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
動作 - 取得電腦動作清單
從 Windows Defender ATP 擷取最新的計算機動作
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
篩選結果
|
$filter | string |
使用 OData 語法篩選結果。 |
|
|
選取屬性
|
$select | string |
選取要包含在回應中的屬性,預設為 all。 |
|
|
排序結果
|
$orderby | string |
排序結果。 |
|
|
傳回第一個結果
|
$top | integer |
只傳回前 n 個結果。 |
|
|
略過第一個結果
|
$skip | integer |
略過前 n 個結果。 |
|
|
包含計數
|
$count | boolean |
在回應中包含比對結果的計數。 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
機器動作計數
|
@odata.count | integer |
此查詢可用的電腦動作數目 |
|
機器動作
|
value | array of MachineAction |
傳回的機器動作 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
動作 - 取消單一電腦動作
取消特定電腦動作
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
機器動作的 ID
|
Machine Action ID | True | string |
要取消的機器動作識別碼 |
|
評論
|
Comment | True | string |
要與電腦動作取消相關聯的註解 |
傳回
單一機器動作實體
- 電腦動作
- MachineAction
動作 - 單孤立機
將電腦與網路隔離
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
電腦識別碼
|
Machine ID | True | string |
要取消隔離的機器識別碼 |
|
評論
|
Comment | True | string |
與取消隔離相關聯的註解 |
傳回
單一機器動作實體
- 電腦動作
- MachineAction
動作 - 在計算機上啟動自動化調查 (預覽版)
在電腦上啟動自動化調查
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
電腦識別碼
|
Machine ID | True | string |
要調查的機器識別碼 |
|
評論
|
Comment | True | string |
與調查相關聯的評論 |
傳回
單一調查實體
動作 - 在電腦上起始調查 (即將棄用)
在電腦上起始調查
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
電腦識別碼
|
Machine ID | True | string |
要調查的機器識別碼 |
|
評論
|
Comment | True | string |
與調查相關聯的評論 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
調查標識碼
|
value | string |
調查的識別碼 |
動作 - 執行即時回應
針對單一機器執行即時回應 API 命令
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
電腦識別碼
|
Machine ID | True | string |
要執行即時回應工作階段的電腦識別碼 |
|
評論
|
Comment | True | string |
與隔離相關聯的註解 |
|
命令類型
|
type | True | string |
命令的類型 |
|
指令參數鍵
|
key | string |
命令參數的鍵 |
|
|
指令參數值
|
value | string |
指令參數的值 |
傳回
單一機器動作實體
- 電腦動作
- MachineAction
動作 - 執行防毒掃描
在計算機上啟動 Windows Defender 防病毒軟件掃描
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
電腦識別碼
|
Machine ID | True | string |
要掃描的機器的識別碼 |
|
評論
|
Comment | True | string |
要與掃描要求相關聯的註解 |
|
掃描類型
|
ScanType | True | string |
要執行的掃描類型。 允許的值為「快速」或「完整」 |
傳回
單一機器動作實體
- 電腦動作
- MachineAction
動作 - 收集調查套件
從電腦收集調查套件
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
電腦識別碼
|
Machine ID | True | string |
要從中收集調查的機器識別碼 |
|
評論
|
Comment | True | string |
要與集合相關聯的註解 |
傳回
單一機器動作實體
- 電腦動作
- MachineAction
動作 - 移除應用程式執行限制
啟用電腦上任何應用程式的執行
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
電腦識別碼
|
Machine ID | True | string |
要解除限制的機器 ID |
|
評論
|
Comment | True | string |
與限制移除相關聯的註解 |
傳回
單一機器動作實體
- 電腦動作
- MachineAction
動作 - 限制應用程式執行
限制電腦上所有應用程式的執行,但預先定義的集合除外
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
電腦識別碼
|
Machine ID | True | string |
要限制的機器的 ID |
|
評論
|
Comment | True | string |
與限制相關聯的註解 |
傳回
單一機器動作實體
- 電腦動作
- MachineAction
動作 - 隔離機器
將電腦與網路隔離
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
電腦識別碼
|
Machine ID | True | string |
要隔離的機器識別碼 |
|
評論
|
Comment | True | string |
與隔離相關聯的註解 |
|
隔離類型
|
IsolationType | True | string |
隔離的類型。 允許的值為「完整」(用於完全隔離)或「選擇性」(僅限制有限的應用程式集存取網路) |
傳回
單一機器動作實體
- 電腦動作
- MachineAction
機器 - 取得單一機器
從 Windows Defender ATP 擷取特定電腦
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
本機的識別碼
|
Machine ID | True | string |
要擷取的機器識別碼 |
傳回
單一機器實體
- 機器
- Machine
機器 - 取得機器清單
從 Windows Defender ATP 擷取最新的電腦
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
篩選結果
|
$filter | string |
使用 OData 語法篩選結果。 |
|
|
選取屬性
|
$select | string |
選取要包含在回應中的屬性,預設為 all。 |
|
|
排序結果
|
$orderby | string |
排序結果。 |
|
|
傳回第一個結果
|
$top | integer |
只傳回前 n 個結果。 |
|
|
略過第一個結果
|
$skip | integer |
略過前 n 個結果。 |
|
|
包含計數
|
$count | boolean |
在回應中包含比對結果的計數。 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
機器很重要
|
@odata.count | integer |
此查詢的可用電腦數目 |
|
Machines
|
value | array of Machine |
機器歸來 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
機器 - 標籤機
在電腦中新增或移除標籤
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
本機的識別碼
|
Machine ID | True | string |
應新增或移除標籤的電腦識別碼 |
|
價值觀
|
Value | True | string |
要新增或移除的標籤 |
|
行動
|
Action | True | string |
要執行的動作。 值應該是 'Add' (新增標籤) 或 'Remove' (移除標籤) 之一 |
傳回
單一機器實體
- 機器
- Machine
檔案 - 取得指定檔案的統計資料
依識別碼 Sha1 或 Sha256 從指定檔案的 Windows Defender ATP 統計資料擷取至指定檔案
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
檔案識別碼 - Sha1 或 Sha256
|
File ID | True | string |
檔案識別碼 - Sha1 或 Sha256 |
|
回顧期間(以小時為單位),預設為 24 小時。
|
lookBackHours | integer |
回顧期間(以小時為單位),預設為 24 小時。 |
傳回
單一檔案統計資料實體
- 檔案統計資料
- FileStats
網域 - 取得指定網域名稱的統計資料
從 Windows Defender ATP 統計資料擷取與指定網域名稱相關的
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
功能變數名稱
|
Domain Name | True | string |
功能變數名稱 |
|
回顧期間(以小時為單位),預設為 24 小時。
|
lookBackHours | integer |
回顧期間(以小時為單位),預設為 24 小時。 |
傳回
單一 IP 位址統計資料實體
- 網域統計資料
- DomainStats
補救工作 - 取得補救活動清單 (預覽版)
從 Windows Defender ATP 擷取重新處理活動
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
篩選結果
|
$filter | string |
使用 OData 語法篩選結果。 |
|
|
選取屬性
|
$select | string |
選取要包含在回應中的屬性,預設為 all。 |
|
|
排序結果
|
$orderby | string |
排序結果。 |
|
|
傳回第一個結果
|
$top | integer |
只傳回前 n 個結果。 |
|
|
略過第一個結果
|
$skip | integer |
略過前 n 個結果。 |
|
|
包含計數
|
$count | boolean |
在回應中包含比對結果的計數。 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
補救活動計數
|
@odata.count | integer |
此查詢的補救活動數目 |
|
補救活動
|
value | array of RemediationActivity |
傳回的補救活動 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
補救活動 - 取得相關電腦清單 (預覽版)
從 Windows Defender ATP 擷取特定補救活動的相關電腦
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
補救活動的識別碼
|
RemediationID | True | string |
要擷取的補救活動識別碼 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
機器很重要
|
@odata.count | integer |
此查詢的可用電腦數目 |
|
Machines
|
value | array of Machine |
機器歸來 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
警報 - 獲取單一警報
從 Windows Defender ATP 擷取特定警示
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
警示的識別碼
|
Alert ID | True | string |
要擷取之警示識別碼 |
傳回
單一警示實體
- Alert
- Alert
警報 - 獲取警報列表
從 Windows Defender ATP 擷取最新的警示
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
展開實體
|
$expand | string |
內嵌展開相關實體。 |
|
|
篩選結果
|
$filter | string |
使用 OData 語法篩選結果。 |
|
|
選取屬性
|
$select | string |
選取要包含在回應中的屬性,預設為 all。 |
|
|
排序結果
|
$orderby | string |
排序結果。 |
|
|
傳回第一個結果
|
$top | integer |
只傳回前 n 個結果。 |
|
|
略過第一個結果
|
$skip | integer |
略過前 n 個結果。 |
|
|
包含計數
|
$count | boolean |
在回應中包含比對結果的計數。 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
警示計數
|
@odata.count | integer |
此查詢的可用警示數目 |
|
警示
|
value | array of Alert |
警示傳回 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
警示 - 建立警示
根據特定事件建立警示
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
電腦識別碼
|
machineId | True | string |
識別事件的電腦識別碼 |
|
報表識別碼
|
reportId | True | integer |
事件的報告標識碼 |
|
活動時間
|
eventTime | True | string |
事件時間為字串,例如 2018-08-03T16:45:21.7115183Z |
|
Severity
|
severity | True | string |
警示的嚴重性。 |
|
類別
|
category | True | string |
警示類別 |
|
Title
|
title | True | string |
警示標題 |
|
Description
|
description | True | string |
警示說明 |
|
建議的動作
|
recommendedAction | True | string |
警示的建議動作 |
傳回
單一警示實體
- Alert
- Alert
警示 - 更新警示
更新 Windows Defender ATP 警示
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
警示的識別碼
|
Alert ID | True | string |
要更新之警示的識別碼 |
|
地位
|
status | string |
警示的狀態。 “新”、“進行中”和“已解決”之一 |
|
|
指派至
|
assignedTo | string |
要指派警示的人員 |
|
|
Classification
|
classification | string |
警報的分類。 'Unknown'、'FalsePositive'、'TruePositive' 之一 |
|
|
㦰
|
determination | string |
警示的判斷。 'NotAvailable'、'Apt'、'Malware'、'SecurityPersonnel'、'SecurityTesting'、'UnwantedSoftware'、'Other' 之一 |
傳回
單一警示實體
- Alert
- Alert
進階搜捕
在 Windows Defender ATP 中執行自訂查詢
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
Query
|
Query | True | string |
要執行的查詢 |
傳回
觸發程序
| 建立新的補救活動時觸發 (預覽) |
建立新的補救活動時觸發 |
| 觸發程式 - 發生新的 WDATP 警示時觸發 |
訂閱 Windows Defender ATP 警示 |
建立新的補救活動時觸發 (預覽)
建立新的補救活動時觸發
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
補救活動計數
|
@odata.count | integer |
此查詢的補救活動數目 |
|
補救活動
|
value | array of RemediationActivity |
傳回的補救活動 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
觸發程式 - 發生新的 WDATP 警示時觸發
定義
Alert
單一警示實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
警示識別碼
|
id | string |
警示識別碼 |
|
事件 ID
|
incidentId | integer |
事件的 ID |
|
調查標識碼
|
investigationId | integer |
調查的 ID |
|
警報嚴重性
|
severity | string |
警報嚴重性 |
|
地位
|
status | string |
警示狀態 |
|
Description
|
description | string |
警示描述 |
|
警示建立時間
|
alertCreationTime | date-time |
建立警示的時間 |
|
類別
|
category | string |
警示類別 |
|
Title
|
title | string |
警示標題 |
|
威脅系列名稱
|
threatFamilyName | string |
威脅系列名稱 |
|
偵測來源
|
detectionSource | string |
偵測來源 |
|
Classification
|
classification | string |
警示分類 |
|
㦰
|
determination | string |
警示判斷 |
|
指派至
|
assignedTo | string |
指派警示的人員 |
|
解決時間
|
resolvedTime | string |
警示解決的時間 |
|
最後活動時間
|
lastEventTime | date-time |
與警示相關的最後一個事件的時間 |
|
第一次活動時間
|
firstEventTime | date-time |
與警示相關的第一個事件的時間 |
|
電腦識別碼
|
machineId | string |
與警示相關的電腦識別碼 |
機器
單一機器實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
電腦識別碼
|
id | string |
機器識別碼 |
|
電腦名稱
|
computerDnsName | string |
電腦名稱 |
|
首次出現
|
firstSeen | date-time |
機器接收到的第一個事件的時間 |
|
上次查看
|
lastSeen | date-time |
機器最後收到事件的時間 |
|
作業系統平台
|
osPlatform | string |
機器的作業系統平台 |
|
操作系統版本
|
osVersion | string |
機器的作業系統版本 |
|
系統產品名稱
|
systemProductName | date-time |
系統產品名稱 |
|
最後一個 IP 位址
|
lastIpAddress | string |
本機的最後一個 IP 位址 |
|
最後一個外部 IP 位址
|
lastExternalIpAddress | string |
本機的最後一個外部 IP 位址 |
|
代理程式版本
|
agentVersion | string |
代理程式版本 |
|
作業系統版本
|
osBuild | integer |
機器的 OS 組建 |
|
健康狀態
|
healthStatus | string |
機器的健康狀態 |
|
是否已加入 Microsoft Entra ID
|
isAadJoined | boolean |
指出電腦是否已加入 Microsoft Entra ID 的旗標 |
|
機器標籤
|
machineTags | array of string |
與機器相關聯的標籤 |
|
RBAC 群組識別碼
|
rbacGroupId | integer |
機器所屬 RBAC 群組的識別碼 |
|
RBAC 群組名稱
|
rbacGroupName | string |
機器所屬的 RBAC 群組名稱 |
|
風險評分
|
riskScore | string |
表示機器面臨風險程度的分數 |
|
Microsoft Entra ID 裝置識別碼
|
aadDeviceId | string |
aadDeviceId |
RemediationActivity
單一補救活動實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
補救活動識別碼
|
id | string |
補救活動識別碼 |
|
補救活動的標題
|
title | string |
補救活動的標題 |
|
建立時間
|
createdOn | date-time |
建立補救活動的時間 |
|
狀態上次修改時間
|
statusLastModifiedOn | date-time |
上次修改狀態的時間 |
|
創作者 ID
|
requesterId | string |
補救活動建立者識別碼 |
|
創作者電子郵件
|
requesterEmail | string |
補救活動建立者電子郵件地址 |
|
地位
|
status | string |
補救活動狀態 |
|
Description
|
description | string |
補救活動的描述 |
|
相關元件
|
relatedComponent | string |
補救活動相關元件 |
|
目標裝置
|
targetDevices | integer |
補救活動目標電腦的數目 |
|
Rbac 群組名稱
|
rbacGroupNames | array of string |
與補救活動相關聯的 rbac 群組名稱 |
|
固定設備
|
fixedDevices | integer |
補救活動固定機器的數目 |
|
創作者筆記
|
requesterNotes | string |
remeidation 活動建立者附註 |
|
到期日
|
dueOn | date-time |
補救活動的到期時間 |
|
類別
|
category | string |
補救活動類別 |
|
生產力影響補救類型
|
productivityImpactRemediationType | string |
補救生產力影響類型 |
|
Priority
|
priority | string |
補救活動優先順序 |
|
完成方式
|
completionMethod | string |
補救活動完成方法 |
|
完成者 ID
|
completerId | string |
補救活動完成器物件識別碼 |
|
完成者電子郵件
|
completerEmail | string |
補救活動完成者電子郵件地址 |
|
安全性組態識別碼
|
scid | string |
補救活動安全性組態識別碼 |
|
類型
|
type | string |
補救活動類型 |
|
產品編號
|
productId | string |
產品編號 |
|
廠商 ID
|
vendorId | string |
廠商 ID |
|
名稱 ID
|
nameId | string |
名稱 ID |
|
推薦版本
|
recommendedVersion | string |
推薦版本 |
|
推薦廠商
|
recommendedVendor | string |
推薦廠商 |
|
推薦節目
|
recommendedProgram | string |
推薦節目 |
|
推薦參考
|
RecommendationReference | string |
推薦參考 |
機器動作
單一機器動作實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
作ID
|
id | string |
機器動作的識別碼 |
|
動作類型
|
type | string |
動作的類型 (例如 'Isolate'、'CollectInvestigationPackage' ...) |
|
請求者
|
requestor | string |
要求機器動作的人員 |
|
評論
|
requestorComment | string |
與電腦動作相關聯的註解 |
|
地位
|
status | string |
機器動作的狀態 (例如,'InProgress') |
|
ID
|
machineId | string |
已執行動作的電腦的識別碼 |
|
建立時間
|
creationDateTimeUtc | date-time |
已請求動作的 UTC 時間 |
|
上次更新時間
|
lastUpdateDateTimeUtc | date-time |
更新動作的最後 UTC 時間 |
|
Commands
|
commands | array of LiveResponseCommandStatus |
即時回應機器動作命令 |
LiveResponseCommand狀態
Live Response 機器動作實體中的單一命令
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
指令索引
|
index | integer |
命令的索引 |
|
指令執行開始時間
|
startTime | date-time |
指令執行開始時間 UTC |
|
指令執行結束時間
|
endTime | date-time |
指令執行結束時間 UTC |
|
指令狀態
|
commandStatus | string |
命令執行的狀態(例如,「已完成」) |
|
命令錯誤
|
errors | array of string |
命令執行錯誤清單。 如果沒有報告錯誤,這將是一個空列表。 |
|
指令
|
command | LiveResponseCommand |
LiveResponse命令
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
命令類型
|
type | string |
命令的類型 |
|
命令參數
|
params | array of object |
命令參數清單。 |
|
指令參數鍵
|
params.key | string |
命令參數的鍵 |
|
指令參數值
|
params.value | string |
指令參數的值 |
檔案統計
單一檔案統計資料實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
沙1
|
sha1 | string |
檔案的 sha1 |
|
全球流行率
|
globallyPrevalence | integer |
檔案全域流行率。 |
|
全球首創觀測
|
globalFirstObserved | date-time |
該檔案首次在全球範圍內被觀察到。 |
|
全域上次觀察
|
globalLastObserved | date-time |
上次觀察檔案的時間。 |
|
組織盛行率
|
organizationPrevalence | integer |
整個組織的檔案普及率 |
|
組織首次觀察到
|
orgFirstSeen | date-time |
第一次在組織中觀察到該文件。 |
|
上次觀察的組織
|
orgLastSeen | date-time |
上次在組織中觀察到該檔案的時間。 |
|
熱門檔案名稱
|
topFileNames | array of string |
此檔案已呈現的檔案名稱。 |
Ip統計
單一 IP 位址統計資料實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
葉地址
|
ipAddress | string |
IP 地址 |
|
組織盛行率
|
organizationPrevalence | integer |
整個組織的 IP 位址普及率 |
|
組織首次觀察到
|
orgFirstSeen | date-time |
第一次在組織中觀察到 IP 位址。 |
|
上次觀察的組織
|
orgLastSeen | date-time |
上次在組織中觀察到 IP 位址的時間。 |
網域統計
單一 IP 位址統計資料實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
Host
|
host | string |
網域代管商。 |
|
組織盛行率
|
organizationPrevalence | integer |
整個組織的網域普遍性 |
|
組織首次觀察到
|
orgFirstSeen | date-time |
第一次在組織中觀察到網域。 |
|
上次觀察的組織
|
orgLastSeen | date-time |
上次在組織中觀察到網域的時間。 |
調查
單一調查實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
ID
|
id | string |
調查的識別碼 |
|
調查狀態
|
state | string |
調查狀態 (例如「良性」、「執行中」等) |
|
狀態詳細資料
|
statusDetails | string |
狀態詳細資料 |
|
電腦名稱
|
computerDnsName | string |
電腦名稱 |
|
電腦識別碼
|
machineId | string |
電腦識別碼 |
|
開始時間
|
startTime | date-time |
開始調查的 UTC 時間 |
|
結束時間
|
endTime | date-time |
完成調查的 UTC 時間 |
WebHook通知
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
警示識別碼
|
id | string | |
|
電腦識別碼
|
machineId | string |