アラート リソースの種類Alert resource type
適用対象:Applies to:
Microsoft Defender for EndpointMicrosoft Defender for Endpoint
Microsoft Defender for Endpoint を体験してみませんか?Want to experience Microsoft Defender for Endpoint? 無料試用版にサインアップします。Sign up for a free trial.
注意
米国政府機関のお客様の場合は、Microsoft Defender for Endpoint for US Government のお客様に記載されている URI を使用してください。If you are a US Government customer, please use the URIs listed in Microsoft Defender for Endpoint for US Government customers.
ヒント
パフォーマンスを向上するために、地理的な場所に近いサーバーを使用できます。For better performance, you can use server closer to your geo location:
- api-us.securitycenter.microsoft.comapi-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.comapi-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.comapi-uk.securitycenter.microsoft.com
メソッドMethods
| メソッドMethod | 戻り値の型Return Type | 説明Description |
|---|---|---|
| 警告の取得Get alert | アラートAlert | 1 つのアラート オブジェクトを取得 します。Get a single alert object. |
| 警告の一覧表示List alerts | アラート コレクションAlert collection | アラート コレクションを一覧表示 します。List alert collection. |
| 警告の更新Update alert | アラートAlert | 特定のアラートを 更新します。Update specific alert. |
| バッチ更新の通知Batch update alerts | アラートのバッチを更新 します。Update a batch of alerts. | |
| アラートの作成Create alert | アラートAlert | Advanced Hunting から取得したイベント データに基づいてアラート を作成します。Create an alert based on event data obtained from Advanced Hunting. |
| 関連するドメインを一覧表示するList related domains | ドメイン コレクションDomain collection | アラートに関連付けられている URL を一覧表示します。List URLs associated with the alert. |
| 関連ファイルを一覧表示するList related files | ファイル コレクションFile collection | アラートに 関連 付けられているファイル エンティティを一覧表示 します。List the file entities that are associated with the alert. |
| 関連する IPs の一覧List related IPs | IP コレクションIP collection | アラートに関連付けられているリストの AP。List IPs that are associated with the alert. |
| 関連するコンピューターを取得するGet related machines | マシンMachine | アラート に 関連付けられている コンピューター。The machine that is associated with the alert. |
| 関連ユーザーの取得Get related users | UserUser | アラート に 関連付けられている ユーザー。The user that is associated with the alert. |
プロパティProperties
| プロパティProperty | 種類Type | 説明Description |
|---|---|---|
| idid | 文字列String | アラート ID。Alert ID. |
| titletitle | StringString | 警告タイトル。Alert title. |
| 説明description | StringString | 警告の説明。Alert description. |
| alertCreationTimealertCreationTime | Null 許容の DateTimeOffsetNullable DateTimeOffset | アラートが作成された日付と時刻 (UTC)。The date and time (in UTC) the alert was created. |
| lastEventTimelastEventTime | Null 許容の DateTimeOffsetNullable DateTimeOffset | 同じデバイスでアラートをトリガーしたイベントの最後の発生。The last occurrence of the event that triggered the alert on the same device. |
| firstEventTimefirstEventTime | Null 許容の DateTimeOffsetNullable DateTimeOffset | そのデバイスでアラートをトリガーしたイベントの最初の発生。The first occurrence of the event that triggered the alert on that device. |
| lastUpdateTimelastUpdateTime | Null 許容の DateTimeOffsetNullable DateTimeOffset | アラートが最後に更新された日付と時刻 (UTC)。The date and time (in UTC) the alert was last updated. |
| resolvedTimeresolvedTime | Null 許容の DateTimeOffsetNullable DateTimeOffset | アラートの状態が [解決済み] に変更された日時。The date and time in which the status of the alert was changed to 'Resolved'. |
| incidentIdincidentId | Null 許容長Nullable Long | アラート の インシデント ID。The Incident ID of the Alert. |
| investigationIdinvestigationId | Null 許容長Nullable Long | アラート に 関連する調査 ID。The Investigation ID related to the Alert. |
| investigationStateinvestigationState | Null 許容列挙Nullable Enum | 調査の現在の 状態です。The current state of the Investigation. 指定できる値は、'Unknown'、'Terminated'、 'SuccessfullyRemediated', '良性', 'Failed', 'PartiallyRemediated', 'Running', 'PendingApproval', 'PendingResource', 'PartiallyInvestigated', 'TerminatedByUser', 'TerminatedBySystem', 'Queued', 'InnerFailure', 'PreexistingAlert', 'unsupportedAlertType', 'unsupportedAlertType''Possible values are: 'Unknown', 'Terminated', 'SuccessfullyRemediated', 'Benign', 'Failed', 'PartiallyRemediated', 'Running', 'PendingApproval', 'PendingResource', 'PartiallyInvestigated', 'TerminatedByUser', 'TerminatedBySystem', 'Queued', 'InnerFailure', 'PreexistingAlert', 'UnsupportedOs', 'UnsupportedAlertType', 'SuppressedAlert'. |
| assignedToassignedTo | StringString | アラートの所有者。Owner of the alert. |
| severityseverity | 列挙Enum | アラートの重大度。Severity of the alert. 指定できる値は、'UnSpecified'、'Informational'、'Low'、'Medium' および 'High' です。Possible values are: 'UnSpecified', 'Informational', 'Low', 'Medium' and 'High'. |
| statusstatus | 列挙Enum | アラートの現在の状態を指定します。Specifies the current status of the alert. 指定できる値は、'Unknown'、'New'、'InProgress'、'Resolved' です。Possible values are: 'Unknown', 'New', 'InProgress' and 'Resolved'. |
| classificationclassification | Null 許容列挙Nullable Enum | アラートの仕様。Specification of the alert. 指定できる値は、'Unknown'、'FalsePositive'、'TruePositive'です。Possible values are: 'Unknown', 'FalsePositive', 'TruePositive'. |
| 決定determination | Null 許容列挙Nullable Enum | アラートの決定を指定します。Specifies the determination of the alert. 指定できる値は、'NotAvailable'、'Apt'、'Malware'、'SecurityPersonnel'、'SecurityTesting'、'UnwantedSoftware'、'Other' です。Possible values are: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'. |
| categorycategory | 文字列String | アラートのカテゴリ。Category of the alert. |
| detectionSourcedetectionSource | 文字列String | 検出ソース。Detection source. |
| threatFamilyNamethreatFamilyName | 文字列String | 脅威ファミリ。Threat family. |
| threatNamethreatName | 文字列String | 脅威の名前。Threat name. |
| machineIdmachineId | 文字列String | アラートに 関連付 けられているコンピューター エンティティの ID。ID of a machine entity that is associated with the alert. |
| computerDnsNamecomputerDnsName | 文字列String | コンピューター の完全修飾名。machine fully qualified name. |
| aadTenantIdaadTenantId | 文字列String | Azure Active Directory ID。The Azure Active Directory ID. |
| detectorIddetectorId | 文字列String | アラートをトリガーした検出器の ID。The ID of the detector that triggered the alert. |
| commentscomments | アラートコメントの一覧List of Alert comments | Alert Comment オブジェクトには、コメント文字列、createBy 文字列、createTime 日付時刻が含まれます。Alert Comment object contains: comment string, createdBy string and createTime date time. |
| 証拠Evidence | アラート証拠の一覧List of Alert evidence | アラートに関連する証拠。Evidence related to the alert. 次の例を参照してください。See example below. |
1 つのアラートを取得する場合の応答例:Response example for getting single alert:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "MIDDLEEAST"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "eranb",
"domainName": "MIDDLEEAST",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}