アラート リソースの種類Alert resource type

適用対象:Applies to:

注意

米国政府機関のお客様の場合は、Microsoft Defender for Endpoint for US Government のお客様に記載されている URI を使用してくださいIf you are a US Government customer, please use the URIs listed in Microsoft Defender for Endpoint for US Government customers.

ヒント

パフォーマンスを向上するために、地理的な場所に近いサーバーを使用できます。For better performance, you can use server closer to your geo location:

  • api-us.securitycenter.microsoft.comapi-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.comapi-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.comapi-uk.securitycenter.microsoft.com

メソッドMethods

メソッドMethod 戻り値の型Return Type 説明Description
警告の取得Get alert アラートAlert 1 つのアラート オブジェクトを取得 します。Get a single alert object.
警告の一覧表示List alerts アラート コレクションAlert collection アラート コレクションを一覧表示 します。List alert collection.
警告の更新Update alert アラートAlert 特定のアラートを 更新しますUpdate specific alert.
バッチ更新の通知Batch update alerts アラートのバッチを更新 しますUpdate a batch of alerts.
アラートの作成Create alert アラートAlert Advanced Hunting から取得したイベント データに基づいてアラート を作成しますCreate an alert based on event data obtained from Advanced Hunting.
関連するドメインを一覧表示するList related domains ドメイン コレクションDomain collection アラートに関連付けられている URL を一覧表示します。List URLs associated with the alert.
関連ファイルを一覧表示するList related files ファイル コレクションFile collection アラートに 関連 付けられているファイル エンティティを一覧表示 しますList the file entities that are associated with the alert.
関連する IPs の一覧List related IPs IP コレクションIP collection アラートに関連付けられているリストの AP。List IPs that are associated with the alert.
関連するコンピューターを取得するGet related machines マシンMachine アラート 関連付けられている コンピューターThe machine that is associated with the alert.
関連ユーザーの取得Get related users UserUser アラート 関連付けられている ユーザーThe user that is associated with the alert.

プロパティProperties

プロパティProperty 種類Type 説明Description
idid 文字列String アラート ID。Alert ID.
titletitle StringString 警告タイトル。Alert title.
説明description StringString 警告の説明。Alert description.
alertCreationTimealertCreationTime Null 許容の DateTimeOffsetNullable DateTimeOffset アラートが作成された日付と時刻 (UTC)。The date and time (in UTC) the alert was created.
lastEventTimelastEventTime Null 許容の DateTimeOffsetNullable DateTimeOffset 同じデバイスでアラートをトリガーしたイベントの最後の発生。The last occurrence of the event that triggered the alert on the same device.
firstEventTimefirstEventTime Null 許容の DateTimeOffsetNullable DateTimeOffset そのデバイスでアラートをトリガーしたイベントの最初の発生。The first occurrence of the event that triggered the alert on that device.
lastUpdateTimelastUpdateTime Null 許容の DateTimeOffsetNullable DateTimeOffset アラートが最後に更新された日付と時刻 (UTC)。The date and time (in UTC) the alert was last updated.
resolvedTimeresolvedTime Null 許容の DateTimeOffsetNullable DateTimeOffset アラートの状態が [解決済み] に変更された日時。The date and time in which the status of the alert was changed to 'Resolved'.
incidentIdincidentId Null 許容長Nullable Long アラート インシデント ID。The Incident ID of the Alert.
investigationIdinvestigationId Null 許容長Nullable Long アラート 関連する調査 ID。The Investigation ID related to the Alert.
investigationStateinvestigationState Null 許容列挙Nullable Enum 調査の現在の 状態です。The current state of the Investigation. 指定できる値は、'Unknown'、'Terminated'、 'SuccessfullyRemediated', '良性', 'Failed', 'PartiallyRemediated', 'Running', 'PendingApproval', 'PendingResource', 'PartiallyInvestigated', 'TerminatedByUser', 'TerminatedBySystem', 'Queued', 'InnerFailure', 'PreexistingAlert', 'unsupportedAlertType', 'unsupportedAlertType''Possible values are: 'Unknown', 'Terminated', 'SuccessfullyRemediated', 'Benign', 'Failed', 'PartiallyRemediated', 'Running', 'PendingApproval', 'PendingResource', 'PartiallyInvestigated', 'TerminatedByUser', 'TerminatedBySystem', 'Queued', 'InnerFailure', 'PreexistingAlert', 'UnsupportedOs', 'UnsupportedAlertType', 'SuppressedAlert'.
assignedToassignedTo StringString アラートの所有者。Owner of the alert.
severityseverity 列挙Enum アラートの重大度。Severity of the alert. 指定できる値は、'UnSpecified'、'Informational'、'Low'、'Medium' および 'High' です。Possible values are: 'UnSpecified', 'Informational', 'Low', 'Medium' and 'High'.
statusstatus 列挙Enum アラートの現在の状態を指定します。Specifies the current status of the alert. 指定できる値は、'Unknown'、'New'、'InProgress'、'Resolved' です。Possible values are: 'Unknown', 'New', 'InProgress' and 'Resolved'.
classificationclassification Null 許容列挙Nullable Enum アラートの仕様。Specification of the alert. 指定できる値は、'Unknown'、'FalsePositive'、'TruePositive'です。Possible values are: 'Unknown', 'FalsePositive', 'TruePositive'.
決定determination Null 許容列挙Nullable Enum アラートの決定を指定します。Specifies the determination of the alert. 指定できる値は、'NotAvailable'、'Apt'、'Malware'、'SecurityPersonnel'、'SecurityTesting'、'UnwantedSoftware'、'Other' です。Possible values are: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'.
categorycategory 文字列String アラートのカテゴリ。Category of the alert.
detectionSourcedetectionSource 文字列String 検出ソース。Detection source.
threatFamilyNamethreatFamilyName 文字列String 脅威ファミリ。Threat family.
threatNamethreatName 文字列String 脅威の名前。Threat name.
machineIdmachineId 文字列String アラートに 関連付 けられているコンピューター エンティティの ID。ID of a machine entity that is associated with the alert.
computerDnsNamecomputerDnsName 文字列String コンピューター の完全修飾名。machine fully qualified name.
aadTenantIdaadTenantId 文字列String Azure Active Directory ID。The Azure Active Directory ID.
detectorIddetectorId 文字列String アラートをトリガーした検出器の ID。The ID of the detector that triggered the alert.
commentscomments アラートコメントの一覧List of Alert comments Alert Comment オブジェクトには、コメント文字列、createBy 文字列、createTime 日付時刻が含まれます。Alert Comment object contains: comment string, createdBy string and createTime date time.
証拠Evidence アラート証拠の一覧List of Alert evidence アラートに関連する証拠。Evidence related to the alert. 次の例を参照してください。See example below.

1 つのアラートを取得する場合の応答例:Response example for getting single alert:

GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
    "id": "da637472900382838869_1364969609",
    "incidentId": 1126093,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Low",
    "status": "New",
    "classification": null,
    "determination": null,
    "investigationState": "Queued",
    "detectionSource": "WindowsDefenderAtp",
    "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "Low-reputation arbitrary code executed by signed executable",
    "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
    "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
    "firstEventTime": "2021-01-26T20:31:32.9562661Z",
    "lastEventTime": "2021-01-26T20:31:33.0577322Z",
    "lastUpdateTime": "2021-01-26T20:33:59.2Z",
    "resolvedTime": null,
    "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
    "computerDnsName": "temp123.middleeast.corp.microsoft.com",
    "rbacGroupName": "A",
    "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
    "threatName": null,
    "mitreTechniques": [
        "T1064",
        "T1085",
        "T1220"
    ],
    "relatedUser": {
        "userName": "temp123",
        "domainName": "MIDDLEEAST"
    },
    "comments": [
        {
            "comment": "test comment for docs",
            "createdBy": "secop123@contoso.com",
            "createdTime": "2021-01-26T01:00:37.8404534Z"
        }
    ],
    "evidence": [
        {
            "entityType": "User",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": null,
            "sha256": null,
            "fileName": null,
            "filePath": null,
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": "eranb",
            "domainName": "MIDDLEEAST",
            "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
            "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
            "userPrincipalName": "temp123@microsoft.com",
            "detectionStatus": null
        },
        {
            "entityType": "Process",
            "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
            "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
            "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
            "fileName": "rundll32.exe",
            "filePath": "C:\\Windows\\SysWOW64",
            "processId": 3276,
            "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
            "processCreationTime": "2021-01-26T20:31:32.9581596Z",
            "parentProcessId": 8420,
            "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
            "parentProcessFileName": "rundll32.exe",
            "parentProcessFilePath": "C:\\Windows\\System32",
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        },
        {
            "entityType": "File",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
            "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
            "fileName": "suspicious.dll",
            "filePath": "c:\\temp",
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        }
    ]
}