API för aviseringar
Api:et aviseringar ger dig information om omedelbara risker som identifieras av Defender för molnet-appar som kräver uppmärksamhet. Aviseringar kan bero på misstänkta användningsmönster eller från filer som innehåller innehåll som bryter mot företagets princip.
Följande visar de begäranden som stöds:
- Lista aviseringar
- Stäng godartad
- Stäng falskt positivt
- Stäng sant positivt
- Hämta avisering
- Markera aviseringen som läst
- Markera aviseringen som oläst
Inaktuella begäranden
I följande tabell visas de inaktuella begärandena som inaktuella och de begäranden som ersätter dem.
| Föråldrad begäran | Alternativ |
|---|---|
| Massutsagning | Stäng falskt positivt |
| Massutlösa | Stäng sant positivt |
| Stäng avisering | Stäng falskt positivt |
Kommentar
De inaktuella begärandena har mappats till deras alternativ för att undvika avbrott. Men om du använder föråldrade begäranden i din miljö rekommenderar vi att du uppdaterar dem till deras alternativ.
Egenskaper
Svarsobjektet definierar följande egenskaper.
| Property | Type | Beskrivning |
|---|---|---|
| _id | heltal | Identifierare för aviseringstyp |
| timestamp | lång | Tidsstämpel för när aviseringen utlöstes |
| entiteter | lista | En lista över entiteter som är relaterade till aviseringen |
| rubrik | sträng | Aviseringens rubrik |
| description | sträng | Aviseringens beskrivning |
| isMarkdown | bool | Flagga som anger om aviseringens beskrivning redan finns i HTML |
| statusValue | heltal | Aviseringens tillstånd. Möjliga värden omfattar: 0: OLÄSTA 1: LÄS 2: ARKIVERAD |
| severityValue | heltal | Aviseringens allvarlighetsgrad. Möjliga värden omfattar: 0: LÅG 1: MEDIUM 2: HÖG 3: INFORMATION |
| resolutionStatusValue | heltal | Aviseringens status. Möjliga värden omfattar: 0: ÖPPNA 1: AVVISAD 2: LÖST 3: FALSE_POSITIVE 4: GODARTAD 5: TRUE_POSITIVE |
| Berättelser | lista | Riskkategori. Möjliga värden omfattar: 0: THREAT_DETECTION 1: PRIVILEGED_ACCOUNT_MONITORING 2: EFTERLEVNAD 3: DLP 4: IDENTIFIERING 5: SHARING_CONTROL 7: ACCESS_CONTROL 8: CONFIGURATION_MONITORING |
| Bevis | lista | Lista över korta beskrivningar av huvuddelarna i aviseringen |
| avsikt | lista | Ett fält som anger den kill chain-relaterade avsikten bakom aviseringen. Flera värden kan rapporteras i det här fältet. Avsiktsuppräkningsvärdena följer MITRE-att@ck företagsmatrismodell. Ytterligare vägledning om de olika tekniker som utgör varje avsikt finns i MITRE:s dokumentation. Möjliga värden omfattar: 0: OKÄND 1: PREATTACK 2: INITIAL_ACCESS 3: PERSISTENCE 4: PRIVILEGE_ESCALATION 5: DEFENSE_EVASION 6: CREDENTIAL_ACCESS 7: IDENTIFIERING 8: LATERAL_MOVEMENT 9: KÖRNING 10: SAMLING 11: EXFILTRERING 12: COMMAND_AND_CONTROL 13: PÅVERKAN |
| isPreview | bool | Aviseringar som nyligen har släppts som GA |
| granskningar (valfritt) | lista | Lista över händelse-ID:t som är relaterade till aviseringen |
| threatScore | heltal | Prioritet för användarundersökning |
Filter
Information om hur filter fungerar finns i Filter.
I följande tabell beskrivs de filter som stöds:
| Filter | Typ | Operatorer | beskrivning |
|---|---|---|---|
| entity.entity | entitets-pk | eq,neq | Filtrera aviseringar relaterade till angivna entiteter. Exempel: [{ "id": "entity-id", "inst": 0 }] |
| entity.ip | sträng | eq, neq | Filtrera aviseringar relaterade till angivna IP-adresser |
| entity.service | integer | eq, neq | Filtrera aviseringar relaterade till angivet appId för tjänsten, t.ex. 11770 |
| entity.instance | integer | eq, neq | Filtrera aviseringar relaterade till de angivna instanserna, t.ex. 11770, 1059065 |
| entity.policy | sträng | eq, neq | Filtrera aviseringar relaterade till de angivna principerna |
| entity.file | sträng | eq, neq | Filtrera aviseringar relaterade till angiven fil |
| alertOpen | boolean | eq | Om värdet är true returnerar endast öppna aviseringar, om värdet är falskt, returnerar endast stängda aviseringar |
| allvarlighetsgrad | integer | eq, neq | Filtrera efter allvarlighetsgrad. Möjliga värden omfattar: 0: Låg 1: Medel 2: Hög |
| resolutionStatus | integer | eq, neq | Filtrera efter status för aviseringsmatchning, möjliga värden är: 0: Öppna 1: Avvisad (äldre status) 2: Löst (äldre status) 3: Stängt som falskt positivt 4: Stängd som godartad 5: Stängt som sant positivt |
| läsa | boolean | eq | Om värdet är true returnerar endast skrivskyddade aviseringar, om de är inställda på false, returnerar olästa aviseringar |
| datum | timestamp | lte, gte, range, lte_ndays, gte_ndays | Filtrera efter den tidpunkt då en avisering utlöstes |
| resolutionDate | timestamp | lte, gte, intervall | Filtrera efter den tidpunkt då en avisering löstes |
| Risk | integer | eq, neq | Filtrera efter risk |
| alertType | integer | eq, neq | Filtrera efter aviseringstyp |
| ID | sträng | eq, neq | Filtrera efter aviserings-ID:t |
| source | sträng | eq | Aviseringens ursprung, antingen inbyggd eller princip |
Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.