警报资源类型
适用于:
注意
有关所有 Microsoft Defenders 产品的完整可用警报 API 体验,请访问: 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn。
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
注意
如果你是美国政府客户,请使用美国政府客户Microsoft Defender for Endpoint中列出的 URI。
提示
为了提高性能,可以使用离地理位置更近的服务器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
方法
| 方法 | 返回类型 | 说明 |
|---|---|---|
| 获取警报 | 提醒 | 获取单个 警报 对象 |
| 列出警报 | 警报 收集 | 列出 警报 集合 |
| 更新警报 | 提醒 | 更新特定 警报 |
| 批量更新警报 | 更新一批 警报 | |
| 创建警报 | 提醒 | 根据从高级搜寻获取的事件数据Create警报 |
| 列出相关域 | 域集合 | 列出与警报关联的 URL |
| 列出相关文件 | 文件 集合 | 列出与警报关联的文件实体 |
| 列出相关 IP | IP 集合 | 列出与警报关联的 IP |
| 获取相关计算机 | 计算机 | 与警报关联的计算机 |
| 获取相关用户 | 用户 | 与警报关联的用户 |
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| ID | String | 警报 ID。 |
| title | String | 警报标题。 |
| 说明 | String | 警报说明。 |
| alertCreationTime | 可为 Null 的 DateTimeOffset | 创建警报) UTC (日期和时间。 |
| lastEventTime | 可为 Null 的 DateTimeOffset | 在同一设备上触发警报的事件的最后一次发生。 |
| firstEventTime | 可为 Null 的 DateTimeOffset | 在该设备上触发警报的事件的第一个匹配项。 |
| lastUpdateTime | 可为 Null 的 DateTimeOffset | 上次更新警报) UTC (日期和时间。 |
| resolvedTime | 可为 Null 的 DateTimeOffset | 警报状态更改为“ 已解决”的日期和时间。 |
| incidentId | 可为空的长 | 警报 的事件 ID。 |
| investigationId | 可为空的长 | 与警报相关的 调查 ID。 |
| investigationState | 可为空枚举 | 调查的当前状态。 可能的值包括: Unknown、 Terminated、 SuccessfullyRemediated、 良性、 Failed、 PartiallyRemediated、 Running、 PendingApproval、 PendingResource、 PartiallyInvestigated、 TerminatedByUser、 TerminatedBySystem、 Queued、 InnerFailure、 PreexistingAlert、 UnsupportedOs、 UnsupportedAlertType、 SuppressedAlert。 |
| assignedTo | String | 警报的所有者。 |
| rbacGroupName | String | 基于角色的访问控制设备组名称。 |
| mitreTechniques | String | Mitre Enterprise 技术 ID。 |
| relatedUser | String | 与特定警报相关的用户的详细信息。 |
| severity | 枚举 | 警报的严重性。 可能的值为: UnSpecified、 Informational、 Low、 Medium 和 High。 |
| status | 枚举 | 指定警报的当前状态。 可能的值为: Unknown、 New、 InProgress 和 Resolved。 |
| classification | 可为空枚举 | 警报的规范。 可能的值为: TruePositive、 Informational, expected activity和 FalsePositive。 |
| 测定 | 可为空枚举 | 指定警报的确定。 每个分类的可能确定值为: Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 考虑相应地更改公共 API 中的枚举名称、 Malware (恶意软件) 、 Phishing (钓鱼) 、 Unwanted software (不需要的Software) 和其他 Other () 。 Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedUserActivity) - 考虑相应地更改公共 API 中的枚举名称,并 Other (其他) 。 Not malicious (清理) - 考虑相应地更改公共 API 中的枚举名称, Not enough data to validate (InsufficientData) ,并 Other (其他) 。 |
| “类别” | String | 警报的类别。 |
| detectionSource | String | 检测源。 |
| threatFamilyName | String | 威胁系列。 |
| threatName | String | 威胁名称。 |
| machineId | String | 与警报关联的 计算机 实体的 ID。 |
| computerDnsName | String | 计算机 完全限定的名称。 |
| aadTenantId | String | Microsoft Entra ID。 |
| detectorId | String | 触发警报的检测器的 ID。 |
| comments | 警报注释列表 | Alert Comment 对象包含:注释字符串、createdBy 字符串和 createTime 日期时间。 |
| 证据 | 警报证据列表 | 与警报相关的证据。 请参阅以下示例。 |
注意
在 2022 年 8 月 29 日左右,以前支持的警报确定值 (Apt 和 SecurityPersonnel) 将弃用,不再通过 API 提供。
获取单个警报的响应示例:
GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
{
"id": "da637472900382838869_1364969609",
"incidentId": 1126093,
"investigationId": null,
"assignedTo": null,
"severity": "Low",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "Queued",
"detectionSource": "WindowsDefenderAtp",
"detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
"category": "Execution",
"threatFamilyName": null,
"title": "Low-reputation arbitrary code executed by signed executable",
"description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
"alertCreationTime": "2021-01-26T20:33:57.7220239Z",
"firstEventTime": "2021-01-26T20:31:32.9562661Z",
"lastEventTime": "2021-01-26T20:31:33.0577322Z",
"lastUpdateTime": "2021-01-26T20:33:59.2Z",
"resolvedTime": null,
"machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
"computerDnsName": "temp123.middleeast.corp.microsoft.com",
"rbacGroupName": "A",
"aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
"threatName": null,
"mitreTechniques": [
"T1064",
"T1085",
"T1220"
],
"relatedUser": {
"userName": "temp123",
"domainName": "DOMAIN"
},
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"evidence": [
{
"entityType": "User",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": "name",
"domainName": "DOMAIN",
"userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
"aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
"userPrincipalName": "temp123@microsoft.com",
"detectionStatus": null
},
{
"entityType": "Process",
"evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
"sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
"sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
"fileName": "rundll32.exe",
"filePath": "C:\\Windows\\SysWOW64",
"processId": 3276,
"processCommandLine": "rundll32.exe c:\\temp\\suspicious.dll,RepeatAfterMe",
"processCreationTime": "2021-01-26T20:31:32.9581596Z",
"parentProcessId": 8420,
"parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
"parentProcessFileName": "rundll32.exe",
"parentProcessFilePath": "C:\\Windows\\System32",
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
},
{
"entityType": "File",
"evidenceCreationTime": "2021-01-26T20:33:58.42Z",
"sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
"sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
"fileName": "suspicious.dll",
"filePath": "c:\\temp",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"parentProcessFileName": null,
"parentProcessFilePath": null,
"ipAddress": null,
"url": null,
"registryKey": null,
"registryHive": null,
"registryValueType": null,
"registryValue": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"detectionStatus": "Detected"
}
]
}
相关文章
使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈