Тип ресурса оповещенийAlert resource type

Область применения:Applies to:

Примечание

Если вы клиент правительства США, используйте URL-адреса, указанные в Microsoft Defender для конечных точек для государственных клиентов США.If you are a US Government customer, please use the URIs listed in Microsoft Defender for Endpoint for US Government customers.

Совет

Для улучшения производительности можно использовать сервер ближе к географическому расположению:For better performance, you can use server closer to your geo location:

  • api-us.securitycenter.microsoft.comapi-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.comapi-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.comapi-uk.securitycenter.microsoft.com

МетодыMethods

МетодMethod Возвращаемый типReturn Type ОписаниеDescription
Получение оповещенияGet alert ОповещениеAlert Получите один объект оповещения.Get a single alert object.
перечисление оповещений;List alerts Коллекция оповещенийAlert collection Список оповещений.List alert collection.
обновление оповещения.Update alert ОповещениеAlert Обновление определенного оповещения.Update specific alert.
Пакетные оповещения об обновленииBatch update alerts Обновление пакета оповещений.Update a batch of alerts.
Создание оповещенийCreate alert ОповещениеAlert Создание оповещений на основе данных событий, полученных из Advanced Hunting.Create an alert based on event data obtained from Advanced Hunting.
Списки связанных доменовList related domains Коллекция доменовDomain collection Список URL-адресов, связанных с оповещением.List URLs associated with the alert.
Файлы, связанные со спискомList related files Коллекция файловFile collection Список сущностями файлов, связанных с оповещением.List the file entities that are associated with the alert.
IPs, связанные со спискомList related IPs Коллекция IPIP collection Список IPs, связанных с оповещением.List IPs that are associated with the alert.
Получить связанные машиныGet related machines КомпьютерMachine Машина, связанная с оповещением. The machine that is associated with the alert.
Получить связанных пользователейGet related users ПользовательUser Пользователь, связанный с оповещением. The user that is associated with the alert.

СвойстваProperties

СвойствоProperty ТипType ОписаниеDescription
idid СтрокаString ИД оповещения.Alert ID.
titletitle StringString Заголовок оповещения.Alert title.
descriptiondescription StringString Описание оповещения.Alert description.
alertCreationTimealertCreationTime Nullable DateTimeOffsetNullable DateTimeOffset Дата и время (в UTC) было создано оповещение.The date and time (in UTC) the alert was created.
lastEventTimelastEventTime Nullable DateTimeOffsetNullable DateTimeOffset Последнее событие, срабатывающее оповещением на том же устройстве.The last occurrence of the event that triggered the alert on the same device.
firstEventTimefirstEventTime Nullable DateTimeOffsetNullable DateTimeOffset Первое появление события, срабатывающее оповещением на этом устройстве.The first occurrence of the event that triggered the alert on that device.
lastUpdateTimelastUpdateTime Nullable DateTimeOffsetNullable DateTimeOffset Дата и время (в UTC) последнее обновление оповещений.The date and time (in UTC) the alert was last updated.
resolvedTimeresolvedTime Nullable DateTimeOffsetNullable DateTimeOffset Дата и время, в течение которых состояние оповещений было изменено на "Разрешено".The date and time in which the status of the alert was changed to 'Resolved'.
incidentIdincidentId Nullable LongNullable Long ИД оповещений об инциденте.The Incident ID of the Alert.
investigationIdinvestigationId Nullable LongNullable Long ID исследования, связанный с оповещением.The Investigation ID related to the Alert.
investigationStateinvestigationState Nullable EnumNullable Enum Текущее состояние расследования.The current state of the Investigation. Возможные значения: "Unknown", "Terminated", "SuccessfullyRemediated", 'Benign', 'Failed', 'PartiallyRemediated', "Running", "PendingApproval", "PendingResource", "PartiallyInvestigated", "TerminatedByUser", "TerminatedBySystem", "Queued", "InnerFailure", "PreexistingAlert", "UnsupportedAlert", "SuppressedAlert".Possible values are: 'Unknown', 'Terminated', 'SuccessfullyRemediated', 'Benign', 'Failed', 'PartiallyRemediated', 'Running', 'PendingApproval', 'PendingResource', 'PartiallyInvestigated', 'TerminatedByUser', 'TerminatedBySystem', 'Queued', 'InnerFailure', 'PreexistingAlert', 'UnsupportedOs', 'UnsupportedAlertType', 'SuppressedAlert'.
assignedToassignedTo StringString Владелец оповещений.Owner of the alert.
severityseverity ПеречислениеEnum Степень серьезности оповещения.Severity of the alert. Возможные значения: "UnSpecified", "Informational", "Low", "Medium" и "High".Possible values are: 'UnSpecified', 'Informational', 'Low', 'Medium' and 'High'.
statusstatus ПеречислениеEnum Указывает текущее состояние оповещений.Specifies the current status of the alert. Возможные значения: "Unknown", "New", "InProgress" и "Resolved".Possible values are: 'Unknown', 'New', 'InProgress' and 'Resolved'.
classificationclassification Nullable EnumNullable Enum Спецификация оповещений.Specification of the alert. Возможные значения: "Неизвестный", "FalsePositive", "TruePositive".Possible values are: 'Unknown', 'FalsePositive', 'TruePositive'.
определениеdetermination Nullable EnumNullable Enum Указывает определение оповещений.Specifies the determination of the alert. Возможные значения: "NotAvailable", "Apt", "Malware", "SecurityPersonnel", "SecurityTesting", "UnwantedSoftware", "Other".Possible values are: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'.
categorycategory StringString Категория оповещения.Category of the alert.
detectionSourcedetectionSource СтрокаString Источник обнаружения.Detection source.
threatFamilyNamethreatFamilyName СтрокаString Семейство угроз.Threat family.
threatNamethreatName СтрокаString Имя угрозы.Threat name.
machineIdmachineId СтрокаString ID объекта машины, связанного с оповещением.ID of a machine entity that is associated with the alert.
computerDnsNamecomputerDnsName СтрокаString полное имя машины.machine fully qualified name.
aadTenantIdaadTenantId СтрокаString ID Azure Active Directory.The Azure Active Directory ID.
detectorIddetectorId СтрокаString ID детектора, который вызвал оповещение.The ID of the detector that triggered the alert.
commentscomments Список замечаний оповещенийList of Alert comments Объект Alert Comment содержит строку комментариев, createdBy string и createTime date time.Alert Comment object contains: comment string, createdBy string and createTime date time.
СвидетельствоEvidence Список доказательств оповещенийList of Alert evidence Доказательства, относящиеся к оповещению.Evidence related to the alert. См. приведенный ниже пример.See example below.

Пример ответа для получения единого оповещения:Response example for getting single alert:

GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
    "id": "da637472900382838869_1364969609",
    "incidentId": 1126093,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Low",
    "status": "New",
    "classification": null,
    "determination": null,
    "investigationState": "Queued",
    "detectionSource": "WindowsDefenderAtp",
    "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "Low-reputation arbitrary code executed by signed executable",
    "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
    "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
    "firstEventTime": "2021-01-26T20:31:32.9562661Z",
    "lastEventTime": "2021-01-26T20:31:33.0577322Z",
    "lastUpdateTime": "2021-01-26T20:33:59.2Z",
    "resolvedTime": null,
    "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
    "computerDnsName": "temp123.middleeast.corp.microsoft.com",
    "rbacGroupName": "A",
    "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
    "threatName": null,
    "mitreTechniques": [
        "T1064",
        "T1085",
        "T1220"
    ],
    "relatedUser": {
        "userName": "temp123",
        "domainName": "MIDDLEEAST"
    },
    "comments": [
        {
            "comment": "test comment for docs",
            "createdBy": "secop123@contoso.com",
            "createdTime": "2021-01-26T01:00:37.8404534Z"
        }
    ],
    "evidence": [
        {
            "entityType": "User",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": null,
            "sha256": null,
            "fileName": null,
            "filePath": null,
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": "eranb",
            "domainName": "MIDDLEEAST",
            "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
            "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
            "userPrincipalName": "temp123@microsoft.com",
            "detectionStatus": null
        },
        {
            "entityType": "Process",
            "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
            "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
            "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
            "fileName": "rundll32.exe",
            "filePath": "C:\\Windows\\SysWOW64",
            "processId": 3276,
            "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
            "processCreationTime": "2021-01-26T20:31:32.9581596Z",
            "parentProcessId": 8420,
            "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
            "parentProcessFileName": "rundll32.exe",
            "parentProcessFilePath": "C:\\Windows\\System32",
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        },
        {
            "entityType": "File",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
            "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
            "fileName": "suspicious.dll",
            "filePath": "c:\\temp",
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        }
    ]
}