Type waarschuwingsresource

  • Artikel

Van toepassing op:

Opmerking

Ga voor de volledige ervaring met de waarschuwingen-API voor alle Microsoft Defenders-producten naar: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Opmerking

Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.

Tip

Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Methoden

Methode Retourtype Beschrijving
Waarschuwing ontvangen Waarschuwingsweergave Eén waarschuwingsobject ophalen
Lijstwaarschuwingen Waarschuwingsverzameling Verzameling waarschuwingen weergeven
Waarschuwing bijwerken Waarschuwingsweergave Specifieke waarschuwing bijwerken
Waarschuwingen over batch-update Een batch met waarschuwingen bijwerken
Waarschuwing maken Waarschuwingsweergave Creatie een waarschuwing op basis van gebeurtenisgegevens die zijn verkregen van Advanced Hunting
Gerelateerde domeinen weergeven Domeinverzameling URL's weergeven die zijn gekoppeld aan de waarschuwing
Gerelateerde bestanden weergeven Bestandsverzameling De bestandsentiteiten vermelden die zijn gekoppeld aan de waarschuwing
Gerelateerde IP-adressen weergeven IP-verzameling IP-adressen vermelden die zijn gekoppeld aan de waarschuwing
Gerelateerde machines ophalen Computer De computer die aan de waarschuwing is gekoppeld
Gerelateerde gebruikers ophalen Gebruiker De gebruiker die is gekoppeld aan de waarschuwing

Eigenschappen

Eigenschap Type Beschrijving
ID Tekenreeks Waarschuwings-id.
Titel Tekenreeks Waarschuwingstitel.
beschrijving Tekenreeks Beschrijving van waarschuwing.
alertCreationTime Nullable DateTimeOffset De datum en tijd (in UTC) waarop de waarschuwing is gemaakt.
lastEventTime Nullable DateTimeOffset De laatste gebeurtenis die de waarschuwing op hetzelfde apparaat heeft geactiveerd.
firstEventTime Nullable DateTimeOffset De eerste gebeurtenis die de waarschuwing op dat apparaat heeft geactiveerd.
lastUpdateTime Nullable DateTimeOffset De datum en tijd (in UTC) waarop de waarschuwing voor het laatst is bijgewerkt.
resolvedTime Nullable DateTimeOffset De datum en tijd waarin de status van de waarschuwing is gewijzigd in Opgelost.
incidentId Nullable Long De incident-id van de waarschuwing.
investigationId Nullable Long De onderzoeks-id met betrekking tot de waarschuwing.
investigationState Nullable Enum De huidige status van het onderzoek. Mogelijke waarden zijn: Onbekend, Beëindigd, Succesvol Hersteld, Goedaardig, Mislukt, Gedeeltelijk Hersteld, Wordt uitgevoerd, In behandeling,PendingResource, Gedeeltelijk Onderzocht, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Tekenreeks Eigenaar van de waarschuwing.
rbacGroupName Tekenreeks Naam van apparaatgroep op basis van op rollen gebaseerd toegangsbeheer.
mitreTechniques Tekenreeks Mitre Enterprise-techniek-id.
relatedUser Tekenreeks Details van de gebruiker met betrekking tot een specifieke waarschuwing.
Ernst Enum Ernst van de waarschuwing. Mogelijke waarden zijn: Niet opgegeven, Informatief, Laag, Gemiddeld en Hoog.
Status Enum Hiermee geeft u de huidige status van de waarschuwing. Mogelijke waarden zijn: Onbekend, Nieuw, InProgress en Opgelost.
Indeling Nullable Enum Specificatie van de waarschuwing. Mogelijke waarden zijn: TruePositive, Informational, expected activityen FalsePositive.
Bepaling Nullable Enum Hiermee geeft u de bepaling van de waarschuwing.

Mogelijke bepalingswaarden voor elke classificatie zijn:

  • True positive: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, Malware (Malware), Phishing (Phishing), Unwanted software (OngewensteSoftware) en Other (Overige).
  • Informatieve, verwachte activiteit:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, en Other (Overige).
  • Fout-positief:Not malicious (Schoon) - overweeg de naam van de enum in de openbare API dienovereenkomstig te wijzigen, Not enough data to validate (InsufficientData) en Other (Overige).
    		•
    Categorie Tekenreeks Categorie van de waarschuwing.
    detectionSource Tekenreeks Detectiebron.
    threatFamilyName Tekenreeks Bedreigingsfamilie.
    threatName Tekenreeks Bedreigingsnaam.
    machineId Tekenreeks Id van een machineentiteit die is gekoppeld aan de waarschuwing.
    computerDnsName Tekenreeks volledig gekwalificeerde machinenaam .
    aadTenantId Tekenreeks De Microsoft Entra ID.
    detectorId Tekenreeks De id van de detector die de waarschuwing heeft geactiveerd.
    Opmerkingen Lijst met waarschuwingsopmerkingen Het waarschuwingsopmerkingsobject bevat: opmerkingstekenreeks, createdBy-tekenreeks en createTime date time.
    Bewijs Lijst met waarschuwingsmateriaal Bewijs met betrekking tot de waarschuwing. Zie het volgende voorbeeld.

    Opmerking

    Rond 29 augustus 2022 worden eerder ondersteunde waarschuwingsbepalingswaarden (Apt en SecurityPersonnel) afgeschaft en niet meer beschikbaar via de API.

    Voorbeeld van een antwoord voor het ontvangen van één waarschuwing:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609

    {
    "id": "da637472900382838869_1364969609",
    "incidentId": 1126093,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Low",
    "status": "New",
    "classification": null,
    "determination": null,
    "investigationState": "Queued",
    "detectionSource": "WindowsDefenderAtp",
    "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "Low-reputation arbitrary code executed by signed executable",
    "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
    "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
    "firstEventTime": "2021-01-26T20:31:32.9562661Z",
    "lastEventTime": "2021-01-26T20:31:33.0577322Z",
    "lastUpdateTime": "2021-01-26T20:33:59.2Z",
    "resolvedTime": null,
    "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
    "computerDnsName": "temp123.middleeast.corp.microsoft.com",
    "rbacGroupName": "A",
    "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
    "threatName": null,
    "mitreTechniques": [
        "T1064",
        "T1085",
        "T1220"
    ],
    "relatedUser": {
        "userName": "temp123",
        "domainName": "DOMAIN"
    },
    "comments": [
        {
            "comment": "test comment for docs",
            "createdBy": "secop123@contoso.com",
            "createdTime": "2021-01-26T01:00:37.8404534Z"
        }
    ],
    "evidence": [
        {
            "entityType": "User",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": null,
            "sha256": null,
            "fileName": null,
            "filePath": null,
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": "name",
            "domainName": "DOMAIN",
            "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
            "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
            "userPrincipalName": "temp123@microsoft.com",
            "detectionStatus": null
        },
        {
            "entityType": "Process",
            "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
            "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
            "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
            "fileName": "rundll32.exe",
            "filePath": "C:\\Windows\\SysWOW64",
            "processId": 3276,
            "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
            "processCreationTime": "2021-01-26T20:31:32.9581596Z",
            "parentProcessId": 8420,
            "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
            "parentProcessFileName": "rundll32.exe",
            "parentProcessFilePath": "C:\\Windows\\System32",
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        },
        {
            "entityType": "File",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
            "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
            "fileName": "suspicious.dll",
            "filePath": "c:\\temp",
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        }
    ]
}

    De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn

    Tip

    Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.