Alertas API

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

A API alerta que lhe fornece informações sobre riscos imediatos identificados por Cloud App Security que requerem atenção. Os alertas podem resultar de padrões de utilização suspeitos ou de ficheiros que contenham conteúdo que viole a política da empresa.

As seguintes listas listam os pedidos suportados:

Pedidos precotados

A tabela que se segue lista os pedidos precotados como obsoletos e os pedidos que os substituem.

Pedido obsoleto Alternativa
Dispensar em massa Fechar falso positivo
Resolver em massa Fechar verdadeiro positivo
Dispensar alerta Fechar falso positivo

Nota

Os pedidos precotados foram mapeados para as suas alternativas para evitar perturbações. No entanto, se estiver a utilizar pedidos obsoletos no seu ambiente, recomendamos que os atualiem às suas alternativas.

Propriedades

O objeto de resposta define as seguintes propriedades.

Propriedade Tipo Description
_id int Identificador de tipo de alerta
carimbo de data/hora long Tempo de altura de quando o alerta foi levantado
entidades lista Uma lista de entidades relacionadas com o alerta
título string O título do alerta
descrição string A descrição do alerta
isMarkdown bool Bandeira para indicar se a descrição do alerta já está em HTML
statusValue int O estado do alerta. Valores possíveis incluem:

0: UNREAD
1: LER
2: ARQUIVADO
severidadeValue int A gravidade do alerta. Valores possíveis incluem:

0: BAIXO
1: MÉDIO
2: ALTO
3: INFORMAÇÃO
resoluçãoStatusValue int Estado do alerta. Valores possíveis incluem:

0: ABERTO
1: Dispensado
2: RESOLVIDO
3: FALSE_POSITIVE
4: BENIGN
5: TRUE_POSITIVE
histórias lista Categoria de risco. Valores possíveis incluem:

0: THREAT_DETECTION
1: PRIVILEGED_ACCOUNT_MONITORING
2: Conformidade
3: DLP
4: DISCOVERY
5: SHARING_CONTROL
7: ACCESS_CONTROL
8: CONFIGURATION_MONITORING
evidência lista Lista de breves descrições das principais partes do alerta
intenção lista Um campo que especifica a intenção relacionada com a cadeia de morte por trás do alerta. Vários valores podem ser reportados neste campo. Os valores de enumeração de intenções seguem o modelo de matriz att@ck empresarial MITRE. Outras orientações sobre as diferentes técnicas que compõem cada intenção podem ser encontradas na documentação do MITRE.
Valores possíveis incluem:

0: DESCONHECIDO
1: PRÉ-ATAQUE
2: INITIAL_ACCESS
3: PERSISTÊNCIA
4: PRIVILEGE_ESCALATION
5: DEFENSE_EVASION
6: CREDENTIAL_ACCESS
7: DISCOVERY
8: LATERAL_MOVEMENT
9: EXECUÇÃO
10: COLEÇÃO
11: EXFILTRAÇÃO
12: COMMAND_AND_CONTROL
13: IMPACTO
isPreview bool Alertas que foram recentemente lançados como GA
auditorias (facultativas) lista Lista de ids de eventos que estão relacionados com o alerta
threatScore int Prioridade da investigação do utilizador
threatScoreReasoning lista A investigação da atividade prioridade evidência de pontuação

Filtros

Para obter informações sobre como funcionam os filtros, consulte Filtros.

A tabela a seguir descreve os filtros suportados:

Filtro Tipo Operadores Descrição
entidade.entidade entidade pk eq,neq Filtrar alertas relacionados com entidades especificadas. Exemplo: [{ "id": "entity-id", "saas": 11161, "inst": 0 }]
entidade.ip string eq, neq Alertas de filtro relacionados com endereços IP especificados
entidade.serviço número inteiro eq, neq Alertas de filtro relacionados com o appId de serviço especificado, por exemplo: 11770
entidade.instância número inteiro eq, neq Alertas de filtro relacionados com as instâncias especificadas, por exemplo: 11770, 1059065
entidade.política string eq, neq Alertas de filtro relacionados com as políticas especificadas
entidade.arquivo string eq, neq Alertas de filtro relacionados com ficheiro especificado
alertaOpen boolean eq Se definido como "verdadeiro", retorna apenas alertas abertos, se definidos como "falsos", retorna apenas alertas fechados
gravidade número inteiro eq, neq Filtrar por gravidade. Valores possíveis incluem:

0: Baixo
1: Médio
2: Alto
resoluçãoStatus número inteiro eq, neq Filtrar por estado de resolução de alerta, os valores possíveis incluem:

0: Abrir
1: Dispensado (estatuto de legado)
2: Resolvido (estatuto de legado)
3: Fechado como falso positivo
4: Fechado como benigno
5: Fechado como verdadeiro positivo
leitura boolean eq Se definido como "verdadeiro", retorna apenas ler alertas, se definidos como "falsos", retorna alertas não lidos
data carimbo de data/hora Ite, gte, alcance, lte_ndays, gte_ndays Filtro no momento em que um alerta foi desencadeado
resoluçãoDate carimbo de data/hora Lte, gte, alcance Filtrar no momento em que um alerta foi resolvido
risco número inteiro eq, neq Filtro por risco
alertaTip número inteiro eq, neq Filtro por tipo de alerta
ID string eq, neq Filtrar por IDs de alerta
source string eq A origem do alerta, quer incorporada quer política

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.