列出警报

命名空间:microsoft.graph

检索警报对象列表。

此 API 可用于以下国家级云部署

全局服务 美国政府 L4 美国政府 L5 (DOD) 由世纪互联运营的中国

权限

为此 API 选择标记为最低特权的权限。 只有在应用需要它时,才使用更高的特权权限。 有关委派权限和应用程序权限的详细信息,请参阅权限类型。 要了解有关这些权限的详细信息,请参阅 权限参考

权限类型 最低特权权限 更高特权权限
委派(工作或学校帐户) SecurityEvents.Read.All SecurityEvents.ReadWrite.All
委派(个人 Microsoft 帐户) 不支持。 不支持。
应用程序 SecurityEvents.Read.All SecurityEvents.ReadWrite.All

HTTP 请求

GET /security/alerts
GET /security/alerts?$top=1
GET /security/alerts?$filter={property} eq '{property-value}'
GET /security/alerts?$filter={property} eq '{property-value}'&$top=5
GET /security/alerts?$filter={property} eq '{property-value}' and {property} eq '{property-value}'

可选的查询参数

此方法支持以下 OData 查询参数,它们有助于自定义响应:

  • $count
  • $orderby
  • $select
  • $skip
  • $top - 返回每个安全 API 提供商的汇总后顶部结果。
  • $filter

下表通过各个供应商的名称列出了 $filter 关键词。 尽管其中某些产品已重命名,但尚未更新该 API。 筛选器关键字将继续使用旧名称,直到另行通知为止。 更新内容请参阅 changelog

提供商名称 $filter 关键字
Microsoft Defender for Identity Azure 高级威胁防护
Azure 安全中心 ASC
Microsoft Defender for Cloud Apps MCAS
Microsoft Entra ID 保护 IPC
Microsoft Sentinel Azure Sentinel
Microsoft Defender for Endpoint Microsoft Defender ATP
Office 365 目前尚不支持。

注意: 某些提供程序可能不支持 $filter 关键字。

若要返回备用属性集,请使用 OData $select 查询参数指定所需的 警报 属性集。例如,要返回 assignedTocategoryseverity 属性,请将以下内容添加到查询: $select=assignedTo,category,severity

注意:$top OData 查询参数具有 1000 个警报的限制。 建议你在第一个 GET 查询中仅包括 $top,而不包括 $skip。 可使用 @odata.nextLink 进行分页。 如果需要使用 $skip,它具有 500 个警报的限制。 例如,/security/alerts?$top=10&$skip=500 将返回 200 OK 响应代码,但 /security/alerts?$top=10&$skip=501 将返回 400 Bad Request 响应代码。 有关详细信息,请参阅 Microsoft Graph 安全性 API 错误响应

请求标头

名称 说明
Authorization Bearer {code}。 必需。

请求正文

请勿提供此方法的请求正文。 将忽略请求正文。

响应

如果成功,此方法在响应正文中返回 200 OK 响应代码和 alert 对象集合。 如果从提供程序返回了 2xx 或 404 以外的状态代码,或者提供程序超时,则响应将是 206 Partial Content 状态代码,提供程序的响应位于警告标头中。 有关详细信息,请参阅 Microsoft Graph 安全性 API 错误响应

示例

请求

以下示例显示了一个请求。

GET https://graph.microsoft.com/v1.0/security/alerts

响应

以下示例显示了相应的响应。

注意:为了提高可读性,可能缩短了此处显示的响应对象。

HTTP/1.1 200 OK
Content-type: application/json

{
  "value": [
    {
      "activityGroupName": "activityGroupName-value",
      "assignedTo": "assignedTo-value",
      "azureSubscriptionId": "azureSubscriptionId-value",
      "azureTenantId": "azureTenantId-value",
      "category": "category-value",
      "closedDateTime": "datetime-value"
    }
  ]
}