API Avvisi
Nota
Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.
Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.
L'API Avvisi fornisce informazioni sui rischi immediati identificati da app Defender per il cloud che richiedono attenzione. Gli avvisi possono derivare da modelli di utilizzo sospetti o da file contenenti contenuto che viola i criteri aziendali.
Di seguito sono elencate le richieste supportate:
- Elencare gli avvisi
- Chiudere i non dannosi
- Chiudere i falsi positivi
- Chiudere i veri positivi
- Recuperare un avviso
- Contrassegnare un avviso come letto
- Contrassegnare un avviso come non letto
Richieste deprecate
Nella tabella seguente vengono elencate le richieste deprecate come obsolete e le richieste che le sostituisce.
| Richiesta obsoleta | Alternativa |
|---|---|
| Ignorare in blocco | Chiudere i falsi positivi |
| Risolvere in blocco | Chiudere i veri positivi |
| Ignora l'avviso | Chiudere i falsi positivi |
Nota
Le richieste deprecate sono state mappate alle loro alternative per evitare interruzioni. Tuttavia, se si usano richieste obsolete nell'ambiente, è consigliabile aggiornarli alle relative alternative.
Proprietà
L'oggetto response definisce le proprietà seguenti.
| Proprietà | Type | Descrizione |
|---|---|---|
| _id | INT | Identificatore del tipo di avviso |
| timestamp | long | Timestamp di quando è stato generato l'avviso |
| entities | list | Elenco di entità correlate all'avviso |
| title | string | Titolo dell'avviso |
| description | string | Descrizione dell'avviso |
| isMarkdown | bool | Flag per indicare se la descrizione dell'avviso è già in HTML |
| statusValue | INT | Stato dell'avviso. I valori possibili sono: 0: NON LETTO 1: READ 2: ARCHIVIATO |
| gravitàValue | INT | Gravità dell'avviso. I valori possibili sono: 0: BASSO 1: MEDIO 2: ALTO 3: INFORMATIONAL |
| resolutionStatusValue | INT | Stato dell'avviso. I valori possibili sono: 0: OPEN 1: IGNORATO 2: RISOLTO 3: FALSE_POSITIVE 4: BENIGNO 5: TRUE_POSITIVE |
| storie | list | Categoria di rischi. I valori possibili sono: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: CONFORMITÀ 3: DLP 4: INDIVIDUAZIONE 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
| evidenza | list | Elenco di brevi descrizioni delle parti principali dell'avviso |
| intent | list | Campo che specifica la finalità correlata alla catena di terminazioni dietro l'avviso. In questo campo è possibile segnalare più valori. I valori di enumerazione delle finalità seguono il modello mitRE att@ck matrice dell'organizzazione. Altre indicazioni sulle diverse tecniche che costituiscono ogni finalità sono disponibili nella documentazione di MITRE. I valori possibili sono: 0: SCONOSCIUTO 1: PREATTACK 2: INITIAL_ACCESS 3: PERSISTENZA 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: INDIVIDUAZIONE 8: LATERAL_MOVEMENT 9: ESECUZIONE 10: RACCOLTA 11: ESFILTRAZIONE 12: COMMAND_AND_CONTROL 13: IMPATTO |
| isPreview | bool | Avvisi rilasciati di recente come disponibilità generale |
| controlli (facoltativo) | list | Elenco di ID evento correlati all'avviso |
| threatScore | INT | Priorità di indagine utente |
Filtri
Per informazioni sul funzionamento dei filtri, vedere Filtri.
La tabella seguente descrive i filtri supportati:
| Filtra | Tipo | Operatori | Descrizione |
|---|---|---|---|
| entity.entity | pk dell'entità | eq,neq | Filtrare gli avvisi correlati alle entità specificate. Esempio: [{ "id": "entity-id", "saas": 11161, "inst": 0 }] |
| entity.ip | string | eq, neq | Filtrare gli avvisi correlati agli indirizzi IP specificati |
| entity.service | numero intero | eq, neq | Filtrare gli avvisi correlati all'id app del servizio specificato, ad esempio 11770 |
| entity.instance | numero intero | eq, neq | Filtrare gli avvisi correlati alle istanze specificate, ad esempio 11770, 1059065 |
| entity.policy | string | eq, neq | Filtrare gli avvisi correlati ai criteri specificati |
| entity.file | string | eq, neq | Filtrare gli avvisi correlati al file specificato |
| alertOpen | boolean | eq | Se impostato su "true", restituisce solo avvisi aperti, se impostato su "false", restituisce solo avvisi chiusi |
| severity | numero intero | eq, neq | Filtrare in base alla gravità. I valori possibili sono: 0: Bassa 1: Medio 2: Alto |
| resolutionStatus | numero intero | eq, neq | Filtrare in base allo stato di risoluzione degli avvisi. I valori possibili includono: 0: Apri 1: Ignorato (stato legacy) 2: Risolto (stato legacy) 3: Chiuso come falso positivo 4: Chiuso come benigno 5: Chiuso come vero positivo |
| lettura | boolean | eq | Se impostato su "true", restituisce solo gli avvisi di lettura, se impostato su "false", restituisce avvisi non letti |
| Data | timestamp | lte, gte, range, lte_ndays, gte_ndays | Filtrare in base all'ora in cui è stato attivato un avviso |
| resolutionDate | timestamp | lte, gte, range | Filtrare in base all'ora in cui è stato risolto un avviso |
| Rischio | numero intero | eq, neq | Filtrare in base al rischio |
| alertType | numero intero | eq, neq | Filtrare in base al tipo di avviso |
| ID | string | eq, neq | Filtrare in base agli ID avviso |
| source | string | eq | Origine dell'avviso, predefinita o criterio |
Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.