Alertas API
Aplica-se a: Microsoft Cloud App Security
Importante
Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.
A API alerta que lhe fornece informações sobre riscos imediatos identificados por Cloud App Security que requerem atenção. Os alertas podem resultar de padrões de utilização suspeitos ou de ficheiros que contenham conteúdo que viole a política da empresa.
As seguintes listas listam os pedidos suportados:
- Listar alertas
- Fechar benigno
- Fechar falso positivo
- Fechar verdadeiro positivo
- Obter alerta
- Marcar alerta como lido
- Marcar alerta como não lido
Pedidos precotados
A tabela que se segue lista os pedidos precotados como obsoletos e os pedidos que os substituem.
| Pedido obsoleto | Alternativa |
|---|---|
| Dispensar em massa | Fechar falso positivo |
| Resolver em massa | Fechar verdadeiro positivo |
| Dispensar alerta | Fechar falso positivo |
Nota
Os pedidos precotados foram mapeados para as suas alternativas para evitar perturbações. No entanto, se estiver a utilizar pedidos obsoletos no seu ambiente, recomendamos que os atualiem às suas alternativas.
Propriedades
O objeto de resposta define as seguintes propriedades.
| Propriedade | Tipo | Description |
|---|---|---|
| _id | int | Identificador de tipo de alerta |
| carimbo de data/hora | long | Tempo de altura de quando o alerta foi levantado |
| entidades | lista | Uma lista de entidades relacionadas com o alerta |
| título | string | O título do alerta |
| descrição | string | A descrição do alerta |
| isMarkdown | bool | Bandeira para indicar se a descrição do alerta já está em HTML |
| statusValue | int | O estado do alerta. Valores possíveis incluem: 0: UNREAD 1: LER 2: ARQUIVADO |
| severidadeValue | int | A gravidade do alerta. Valores possíveis incluem: 0: BAIXO 1: MÉDIO 2: ALTO 3: INFORMAÇÃO |
| resoluçãoStatusValue | int | Estado do alerta. Valores possíveis incluem: 0: ABERTO 1: Dispensado 2: RESOLVIDO 3: FALSE_POSITIVE 4: BENIGN 5: TRUE_POSITIVE |
| histórias | lista | Categoria de risco. Valores possíveis incluem: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: Conformidade 3: DLP 4: DISCOVERY 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
| evidência | lista | Lista de breves descrições das principais partes do alerta |
| intenção | lista | Um campo que especifica a intenção relacionada com a cadeia de morte por trás do alerta. Vários valores podem ser reportados neste campo. Os valores de enumeração de intenções seguem o modelo de matriz att@ck empresarial MITRE. Outras orientações sobre as diferentes técnicas que compõem cada intenção podem ser encontradas na documentação do MITRE. Valores possíveis incluem: 0: DESCONHECIDO 1: PRÉ-ATAQUE 2: INITIAL_ACCESS 3: PERSISTÊNCIA 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: DISCOVERY 8: LATERAL_MOVEMENT 9: EXECUÇÃO 10: COLEÇÃO 11: EXFILTRAÇÃO 12: COMMAND_AND_CONTROL 13: IMPACTO |
| isPreview | bool | Alertas que foram recentemente lançados como GA |
| auditorias (facultativas) | lista | Lista de ids de eventos que estão relacionados com o alerta |
| threatScore | int | Prioridade da investigação do utilizador |
| threatScoreReasoning | lista | A investigação da atividade prioridade evidência de pontuação |
Filtros
Para obter informações sobre como funcionam os filtros, consulte Filtros.
A tabela a seguir descreve os filtros suportados:
| Filtro | Tipo | Operadores | Descrição |
|---|---|---|---|
| entidade.entidade | entidade pk | eq,neq | Filtrar alertas relacionados com entidades especificadas. Exemplo: [{ "id": "entity-id", "saas": 11161, "inst": 0 }] |
| entidade.ip | string | eq, neq | Alertas de filtro relacionados com endereços IP especificados |
| entidade.serviço | número inteiro | eq, neq | Alertas de filtro relacionados com o appId de serviço especificado, por exemplo: 11770 |
| entidade.instância | número inteiro | eq, neq | Alertas de filtro relacionados com as instâncias especificadas, por exemplo: 11770, 1059065 |
| entidade.política | string | eq, neq | Alertas de filtro relacionados com as políticas especificadas |
| entidade.arquivo | string | eq, neq | Alertas de filtro relacionados com ficheiro especificado |
| alertaOpen | boolean | eq | Se definido como "verdadeiro", retorna apenas alertas abertos, se definidos como "falsos", retorna apenas alertas fechados |
| gravidade | número inteiro | eq, neq | Filtrar por gravidade. Valores possíveis incluem: 0: Baixo 1: Médio 2: Alto |
| resoluçãoStatus | número inteiro | eq, neq | Filtrar por estado de resolução de alerta, os valores possíveis incluem: 0: Abrir 1: Dispensado (estatuto de legado) 2: Resolvido (estatuto de legado) 3: Fechado como falso positivo 4: Fechado como benigno 5: Fechado como verdadeiro positivo |
| leitura | boolean | eq | Se definido como "verdadeiro", retorna apenas ler alertas, se definidos como "falsos", retorna alertas não lidos |
| data | carimbo de data/hora | Ite, gte, alcance, lte_ndays, gte_ndays | Filtro no momento em que um alerta foi desencadeado |
| resoluçãoDate | carimbo de data/hora | Lte, gte, alcance | Filtrar no momento em que um alerta foi resolvido |
| risco | número inteiro | eq, neq | Filtro por risco |
| alertaTip | número inteiro | eq, neq | Filtro por tipo de alerta |
| ID | string | eq, neq | Filtrar por IDs de alerta |
| source | string | eq | A origem do alerta, quer incorporada quer política |
Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.