Aviseringsresurstyp

Gäller för:

Anteckning

Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.

Tips

För bättre prestanda kan du använda servern närmare din geografiska plats:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

Metoder



Metod Returtyp Beskrivning
Få en avisering Varning Få ett enda aviseringsobjekt.
Listvarningar Aviseringssamling Samling med listaviseringar.
Uppdateringsavisering Varning Uppdatera specifik avisering.
Uppdateringsaviseringar för batch Uppdatera en uppsättning aviseringar.
Skapa varning Varning Skapa en avisering baserat på händelsedata från Avancerad sökning.
Visa relaterade domäner Domänsamling List-URL:er som är kopplade till aviseringen.
Lista relaterade filer Filsamling Lista de filenheter som är associerade med aviseringen.
Lista relaterade IP-adresser IP-samling List-IP:er som är associerade med aviseringen.
Skaffa relaterade datorer Maskin Den dator som är kopplad till aviseringen.
Skaffa relaterade användare Användare Användaren som är kopplad till aviseringen.

Egenskaper



Egenskap Typ Beskrivning
id Sträng Aviserings-ID.
rubrik Sträng Aviseringsrubrik.
beskrivning Sträng Aviseringsbeskrivning.
alertCreationTime Nullable DateTimeOffset Datum och tid (i UTC) som aviseringen skapades.
lastEventTime Nullable DateTimeOffset Den sista förekomsten av händelsen som utlöste aviseringen på samma enhet.
firstEventTime Nullable DateTimeOffset Den första förekomsten av händelsen som utlöste aviseringen på enheten.
lastUpdateTime Nullable DateTimeOffset Datum och tid (i UTC) som aviseringen uppdaterades senast.
resolvedTime Nullable DateTimeOffset Datum och tid då statusen för aviseringen ändrades till Löst.
incidentId Nullable Long Incident-ID för aviseringen.
investigationId Nullable Long Undersöknings-ID relaterat till aviseringen.
investigationState Nullbar uppräkning Aktuell status för undersökningen. Möjliga värden är: "Okänt", "Avslutat", "SuccessfullyRemediated", 'SuppressedAlert', 'PartiallyRemediated', 'Running', 'PendingApproval', 'PendingResource', 'PartiallyInvestigated', 'TerminatedByUser', 'TerminatedBySystem', 'Queued', 'InnerFailure', 'PreexistingAlert', 'UnsupportedOs', 'UnsupportedAlertType', 'SuppressedAlert'.
assignedTo Sträng Ägaren av aviseringen.
rbacGroupName Sträng Namn på RBAC-enhetsgrupp.
mitreTechniques Sträng Mitre Enterprise technique ID.
relatedUser Sträng Information om användaren som är relaterad till en viss avisering.
allvarlighetsgrad Uppräkning Aviseringens allvarlighetsgrad. Möjliga värden är: "UnSpecified", 'Informational', 'Low', 'Medium' och 'High'.
status Uppräkning Anger aktuell status för aviseringen. Möjliga värden är: "Okänt", "Nytt", "InProgress" och "Löst".
klassificering Nullbar uppräkning Specifikation för aviseringen. Möjliga värden är: "Okänt", "FalsktPositiv", "SantPositiv".
determination Nullbar uppräkning Anger om aviseringen är bestämd. Möjliga värden är: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'.
kategori Sträng Kategorin för aviseringen.
detectionSource Sträng Identifieringskälla.
threatFamilyName Sträng Hotfamilj.
threatName Sträng Hotnamn.
machineId Sträng ID för en maskin entitet som är associerad med aviseringen.
computerDnsName Sträng fullständigt kvalificerat namn.
aadTenantId Sträng Detta Azure Active Directory-ID.
anslutetId Sträng ID för den som utlöste aviseringen.
kommentarer Lista med aviseringskommentarer Aviseringskommentarsobjekt innehåller: kommentarssträng, createdBy-sträng och createTime-datumtid.
Bevis Lista med varningsbevis Bevis som är relaterade till aviseringen. Se exemplet nedan.

Svarsexempel för att få en enda avisering:

GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
    "id": "da637472900382838869_1364969609",
    "incidentId": 1126093,
    "investigationId": null,
    "assignedTo": null,
    "severity": "Low",
    "status": "New",
    "classification": null,
    "determination": null,
    "investigationState": "Queued",
    "detectionSource": "WindowsDefenderAtp",
    "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
    "category": "Execution",
    "threatFamilyName": null,
    "title": "Low-reputation arbitrary code executed by signed executable",
    "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
    "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
    "firstEventTime": "2021-01-26T20:31:32.9562661Z",
    "lastEventTime": "2021-01-26T20:31:33.0577322Z",
    "lastUpdateTime": "2021-01-26T20:33:59.2Z",
    "resolvedTime": null,
    "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
    "computerDnsName": "temp123.middleeast.corp.microsoft.com",
    "rbacGroupName": "A",
    "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
    "threatName": null,
    "mitreTechniques": [
        "T1064",
        "T1085",
        "T1220"
    ],
    "relatedUser": {
        "userName": "temp123",
        "domainName": "DOMAIN"
    },
    "comments": [
        {
            "comment": "test comment for docs",
            "createdBy": "secop123@contoso.com",
            "createdTime": "2021-01-26T01:00:37.8404534Z"
        }
    ],
    "evidence": [
        {
            "entityType": "User",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": null,
            "sha256": null,
            "fileName": null,
            "filePath": null,
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": "name",
            "domainName": "DOMAIN",
            "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
            "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
            "userPrincipalName": "temp123@microsoft.com",
            "detectionStatus": null
        },
        {
            "entityType": "Process",
            "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
            "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
            "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
            "fileName": "rundll32.exe",
            "filePath": "C:\\Windows\\SysWOW64",
            "processId": 3276,
            "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
            "processCreationTime": "2021-01-26T20:31:32.9581596Z",
            "parentProcessId": 8420,
            "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
            "parentProcessFileName": "rundll32.exe",
            "parentProcessFilePath": "C:\\Windows\\System32",
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        },
        {
            "entityType": "File",
            "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
            "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
            "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
            "fileName": "suspicious.dll",
            "filePath": "c:\\temp",
            "processId": null,
            "processCommandLine": null,
            "processCreationTime": null,
            "parentProcessId": null,
            "parentProcessCreationTime": null,
            "parentProcessFileName": null,
            "parentProcessFilePath": null,
            "ipAddress": null,
            "url": null,
            "registryKey": null,
            "registryHive": null,
            "registryValueType": null,
            "registryValue": null,
            "accountName": null,
            "domainName": null,
            "userSid": null,
            "aadUserId": null,
            "userPrincipalName": null,
            "detectionStatus": "Detected"
        }
    ]
}