Tipo di risorsa avvisoAlert resource type

Si applica a:Applies to:

Nota

Se sei un cliente us government, usa gli URI elencati in Microsoft Defender for Endpoint per i clienti del governo statunitense.If you are a US Government customer, please use the URIs listed in Microsoft Defender for Endpoint for US Government customers.

Suggerimento

Per ottenere prestazioni migliori, è possibile utilizzare il server più vicino alla posizione geografica:For better performance, you can use server closer to your geo location:

  • api-us.securitycenter.microsoft.comapi-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.comapi-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.comapi-uk.securitycenter.microsoft.com

MetodiMethods

MetodoMethod Tipo restituitoReturn Type DescrizioneDescription
Ottenere un avvisoGet alert AvvisoAlert Ottenere un singolo oggetto avviso.Get a single alert object.
Elencare avvisiList alerts Raccolta avvisiAlert collection Raccolta avvisi elenco.List alert collection.
Avviso di aggiornamentoUpdate alert AvvisoAlert Aggiorna avviso specifico.Update specific alert.
Avvisi di aggiornamento in batchBatch update alerts Aggiornare un batch di avvisi.Update a batch of alerts.
Creare un avvisoCreate alert AvvisoAlert Crea un avviso in base ai dati dell'evento ottenuti da Advanced Hunting.Create an alert based on event data obtained from Advanced Hunting.
Elencare i domini correlatiList related domains Raccolta di dominiDomain collection Url elenco associati all'avviso.List URLs associated with the alert.
Elencare i file correlatiList related files Raccolta fileFile collection Elencare le entità file associate all'avviso . List the file entities that are associated with the alert.
Elenco indirizzi IP correlatiList related IPs Raccolta IPIP collection Elencare gli INDIRIZZI IP associati all'avviso.List IPs that are associated with the alert.
Ottenere i computer correlatiGet related machines ComputerMachine Computer associato all'avviso.The machine that is associated with the alert.
Ottenere utenti correlatiGet related users UtenteUser L'utente associato all'avviso.The user that is associated with the alert.

ProprietàProperties

ProprietàProperty TipoType DescrizioneDescription
idid StringaString ID avviso.Alert ID.
titletitle StringaString Titolo dell'avviso.Alert title.
descrizionedescription StringaString Descrizione dell'avviso.Alert description.
alertCreationTimealertCreationTime Nullable DateTimeOffsetNullable DateTimeOffset Data e ora (in UTC) in cui è stato creato l'avviso.The date and time (in UTC) the alert was created.
lastEventTimelastEventTime Nullable DateTimeOffsetNullable DateTimeOffset Ultima occorrenza dell'evento che ha attivato l'avviso sullo stesso dispositivo.The last occurrence of the event that triggered the alert on the same device.
firstEventTimefirstEventTime Nullable DateTimeOffsetNullable DateTimeOffset Prima occorrenza dell'evento che ha attivato l'avviso nel dispositivo.The first occurrence of the event that triggered the alert on that device.
lastUpdateTimelastUpdateTime Nullable DateTimeOffsetNullable DateTimeOffset Data e ora (in UTC) dell'ultimo aggiornamento dell'avviso.The date and time (in UTC) the alert was last updated.
resolvedTimeresolvedTime Nullable DateTimeOffsetNullable DateTimeOffset Data e ora in cui lo stato dell'avviso è stato modificato in "Risolto".The date and time in which the status of the alert was changed to 'Resolved'.
incidentIdincidentId Nullable LongNullable Long ID evento imprevisto dell'avviso.The Incident ID of the Alert.
investigationIdinvestigationId Nullable LongNullable Long ID dell'indagine correlato all'avviso.The Investigation ID related to the Alert.
investigationStateinvestigationState Enumerazione NullableNullable Enum Stato corrente dell'oggetto Investigation.The current state of the Investigation. I valori possibili sono: "Unknown", "Terminated", 'SuccessfullyRemediated', 'Benign', 'Failed', 'PartiallyRemediated', 'Running', 'PendingApproval', 'PendingResource', 'PartiallyInvestigated', 'TerminatedByUser', 'TerminatedBySystem', 'Queued', 'InnerFailure', 'PreexistingAlert', 'UnsupportedOs', 'UnsupportedAlertType', 'SuppressedAlert'.Possible values are: 'Unknown', 'Terminated', 'SuccessfullyRemediated', 'Benign', 'Failed', 'PartiallyRemediated', 'Running', 'PendingApproval', 'PendingResource', 'PartiallyInvestigated', 'TerminatedByUser', 'TerminatedBySystem', 'Queued', 'InnerFailure', 'PreexistingAlert', 'UnsupportedOs', 'UnsupportedAlertType', 'SuppressedAlert'.
assignedToassignedTo StringaString Proprietario dell'avviso.Owner of the alert.
gravitàseverity EnumEnum Gravità dell'avviso.Severity of the alert. I valori possibili sono: 'UnSpecified', 'Informational', 'Low', 'Medium' e 'High'.Possible values are: 'UnSpecified', 'Informational', 'Low', 'Medium' and 'High'.
statusstatus EnumEnum Specifica lo stato corrente dell'avviso.Specifies the current status of the alert. I valori possibili sono: 'Unknown', 'New', 'InProgress' e 'Resolved'.Possible values are: 'Unknown', 'New', 'InProgress' and 'Resolved'.
classificazioneclassification Enumerazione NullableNullable Enum Specifica dell'avviso.Specification of the alert. I valori possibili sono: 'Unknown', 'FalsePositive', 'TruePositive'.Possible values are: 'Unknown', 'FalsePositive', 'TruePositive'.
determinazionedetermination Enumerazione NullableNullable Enum Specifica la determinazione dell'avviso.Specifies the determination of the alert. I valori possibili sono: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'.Possible values are: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'.
categorycategory StringaString Categoria dell'avviso.Category of the alert.
detectionSourcedetectionSource StringaString Origine di rilevamento.Detection source.
threatFamilyNamethreatFamilyName StringaString Famiglia di minacce.Threat family.
threatNamethreatName StringaString Nome della minaccia.Threat name.
machineIdmachineId StringaString ID di un'entità computer associata all'avviso.ID of a machine entity that is associated with the alert.
computerDnsNamecomputerDnsName StringaString nome completo del computer.machine fully qualified name.
aadTenantIdaadTenantId StringaString ID Azure Active Directory.The Azure Active Directory ID.
detectorIddetectorId StringaString ID del rilevatore che ha attivato l'avviso.The ID of the detector that triggered the alert.
commenticomments Elenco dei commenti degli avvisiList of Alert comments L'oggetto Alert Comment contiene: stringa di commento, stringa createdBy e createTime date time.Alert Comment object contains: comment string, createdBy string and createTime date time.
ProveEvidence Elenco delle prove di avvisoList of Alert evidence Prova relativa all'avviso.Evidence related to the alert. Vedere l'esempio che segue.See example below.

Esempio di risposta per ottenere un singolo avviso:Response example for getting single alert:

GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
    "id": "da637472900382838869_1364969609",
    "incidentId": 1126093,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Low",
    "status": "New",
    "classification": null,
    "determination": null,
    "investigationState": "Queued",
    "detectionSource": "WindowsDefenderAtp",
    "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "Low-reputation arbitrary code executed by signed executable",
    "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
    "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
    "firstEventTime": "2021-01-26T20:31:32.9562661Z",
    "lastEventTime": "2021-01-26T20:31:33.0577322Z",
    "lastUpdateTime": "2021-01-26T20:33:59.2Z",
    "resolvedTime": null,
    "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
    "computerDnsName": "temp123.middleeast.corp.microsoft.com",
    "rbacGroupName": "A",
    "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
    "threatName": null,
    "mitreTechniques": [
        "T1064",
        "T1085",
        "T1220"
    ],
    "relatedUser": {
        "userName": "temp123",
        "domainName": "MIDDLEEAST"
    },
    "comments": [
        {
            "comment": "test comment for docs",
            "createdBy": "secop123@contoso.com",
            "createdTime": "2021-01-26T01:00:37.8404534Z"
        }
    ],
    "evidence": [
        {
            "entityType": "User",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": null,
            "sha256": null,
            "fileName": null,
            "filePath": null,
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": "eranb",
            "domainName": "MIDDLEEAST",
            "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
            "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
            "userPrincipalName": "temp123@microsoft.com",
            "detectionStatus": null
        },
        {
            "entityType": "Process",
            "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
            "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
            "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
            "fileName": "rundll32.exe",
            "filePath": "C:\\Windows\\SysWOW64",
            "processId": 3276,
            "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
            "processCreationTime": "2021-01-26T20:31:32.9581596Z",
            "parentProcessId": 8420,
            "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
            "parentProcessFileName": "rundll32.exe",
            "parentProcessFilePath": "C:\\Windows\\System32",
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        },
        {
            "entityType": "File",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
            "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
            "fileName": "suspicious.dll",
            "filePath": "c:\\temp",
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        }
    ]
}