Aviseringsresurstyp
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.
Tips
För bättre prestanda kan du använda servern närmare din geografiska plats:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
Metoder
| Metod | Returtyp | Beskrivning |
|---|---|---|
| Få en avisering | Varning | Få ett enda aviseringsobjekt. |
| Listvarningar | Aviseringssamling | Samling med listaviseringar. |
| Uppdateringsavisering | Varning | Uppdatera specifik avisering. |
| Uppdateringsaviseringar för batch | Uppdatera en uppsättning aviseringar. | |
| Skapa varning | Varning | Skapa en avisering baserat på händelsedata från Avancerad sökning. |
| Visa relaterade domäner | Domänsamling | List-URL:er som är kopplade till aviseringen. |
| Lista relaterade filer | Filsamling | Lista de filenheter som är associerade med aviseringen. |
| Lista relaterade IP-adresser | IP-samling | List-IP:er som är associerade med aviseringen. |
| Skaffa relaterade datorer | Maskin | Den dator som är kopplad till aviseringen. |
| Skaffa relaterade användare | Användare | Användaren som är kopplad till aviseringen. |
Egenskaper
| Egenskap | Typ | Beskrivning |
|---|---|---|
| id | Sträng | Aviserings-ID. |
| rubrik | Sträng | Aviseringsrubrik. |
| description | Sträng | Aviseringsbeskrivning. |
| alertCreationTime | Nullable DateTimeOffset | Datum och tid (i UTC) som aviseringen skapades. |
| lastEventTime | Nullable DateTimeOffset | Den sista förekomsten av händelsen som utlöste aviseringen på samma enhet. |
| firstEventTime | Nullable DateTimeOffset | Den första förekomsten av händelsen som utlöste aviseringen på enheten. |
| lastUpdateTime | Nullable DateTimeOffset | Datum och tid (i UTC) som aviseringen uppdaterades senast. |
| resolvedTime | Nullable DateTimeOffset | Datum och tid då statusen för aviseringen ändrades till Löst. |
| incidentId | Nullable Long | Incident-ID för aviseringen. |
| investigationId | Nullable Long | Undersöknings-ID relaterat till aviseringen. |
| investigationState | Nullbar uppräkning | Aktuell status för undersökningen. Möjliga värden är: "Okänt", "Avslutat", "SuccessfullyRemediated", 'SuppressedAlert', 'PartiallyRemediated', 'Running', 'PendingApproval', 'PendingResource', 'PartiallyInvestigated', 'TerminatedByUser', 'TerminatedBySystem', 'Queued', 'InnerFailure', 'PreexistingAlert', 'UnsupportedOs', 'UnsupportedAlertType', 'SuppressedAlert'. |
| assignedTo | Sträng | Ägaren av aviseringen. |
| rbacGroupName | Sträng | Namn på RBAC-enhetsgrupp. |
| mitreTechniques | Sträng | Mitre Enterprise technique ID. |
| relatedUser | Sträng | Information om användaren som är relaterad till en viss avisering. |
| allvarlighetsgrad | Uppräkning | Aviseringens allvarlighetsgrad. Möjliga värden är: "UnSpecified", 'Informational', 'Low', 'Medium' och 'High'. |
| status | Uppräkning | Anger aktuell status för aviseringen. Möjliga värden är: "Okänt", "Nytt", "InProgress" och "Löst". |
| klassificering | Nullbar uppräkning | Specifikation för aviseringen. Möjliga värden är: "Okänt", "FalsktPositiv", "SantPositiv". |
| determination | Nullbar uppräkning | Anger om aviseringen är bestämd. Möjliga värden är: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'. |
| kategori | Sträng | Kategorin för aviseringen. |
| detectionSource | Sträng | Identifieringskälla. |
| threatFamilyName | Sträng | Hotfamilj. |
| threatName | Sträng | Hotnamn. |
| machineId | Sträng | ID för en maskin entitet som är associerad med aviseringen. |
| computerDnsName | Sträng | fullständigt kvalificerat namn. |
| aadTenantId | Sträng | Detta Azure Active Directory ID. |
| anslutetId | Sträng | ID för den som utlöste aviseringen. |
| kommentarer | Lista med aviseringskommentarer | Kommentarobjektet Avisering innehåller: kommentarsträng, createdBy-sträng och createTime-datumtid. |
| Bevis | Lista med varningsbevis | Bevis som är relaterade till aviseringen. Se exemplet nedan. |
Svarsexempel för att få en enda avisering:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}