Warnungsressourcentyp

Gilt für:

Hinweis

Die vollständige verfügbare Oberfläche der Warnungs-API für alle Microsoft Defenders-Produkte finden Sie unter Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie die URIs, die unter Microsoft Defender für Endpunkt für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Methoden

Methode Rückgabetyp Beschreibung
Warnung erhalten Warnung Abrufen eines einzelnen Warnungsobjekts
Warnungen auflisten Warnungssammlung Auflisten der Warnungssammlung
Warnung aktualisieren Warnung Aktualisieren einer bestimmten Warnung
Batch-Aktualisierungswarnungen Aktualisieren eines Batches von Warnungen
Warnung erstellen Warnung Erstellen einer Warnung basierend auf Ereignisdaten, die von der erweiterten Suche abgerufen wurden
Auflisten verwandter Domänen Domänensammlung Auflisten der URLs, die der Warnung zugeordnet sind
Auflisten verwandter Dateien Dateisammlung Auflisten der Dateientitäten, die der Warnung zugeordnet sind
Auflisten verwandter IP-Adressen IP-Sammlung Auflisten der IP-Adressen, die der Warnung zugeordnet sind
Abrufen verwandter Computer Computer Der Computer, der der Warnung zugeordnet ist
Abrufen verwandter Benutzer Benutzer Der Benutzer, der der Warnung zugeordnet ist

Eigenschaften

Eigenschaft Typ Beschreibung
ID Zeichenfolge Warnungs-ID.
title String Warnungstitel.
description String Warnungsbeschreibung.
alertCreationTime Nullable DateTimeOffset Das Datum und die Uhrzeit (in UTC), zu dem die Warnung erstellt wurde.
lastEventTime Nullable DateTimeOffset Das letzte Vorkommen des Ereignisses, das die Warnung auf demselben Gerät ausgelöst hat.
firstEventTime Nullable DateTimeOffset Das erste Vorkommen des Ereignisses, das die Warnung auf diesem Gerät ausgelöst hat.
lastUpdateTime Nullable DateTimeOffset Das Datum und die Uhrzeit (in UTC), zu dem die Warnung zuletzt aktualisiert wurde.
resolvedTime Nullable DateTimeOffset Das Datum und die Uhrzeit, an dem der Status der Warnung in Gelöst geändert wurde.
incidentId Nullable Long Die Incident-ID der Warnung.
investigationId Nullable Long Die Untersuchungs-ID im Zusammenhang mit der Warnung.
investigationState Nullable Enum Der aktuelle Status der Untersuchung. Mögliche Werte: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Zeichenfolge Besitzer der Warnung.
rbacGroupName Zeichenfolge Name der Gerätegruppe für die rollenbasierte Zugriffssteuerung.
mitreTechniques Zeichenfolge Mitre Enterprise-Technik-ID.
relatedUser Zeichenfolge Details des Benutzers im Zusammenhang mit einer bestimmten Warnung.
Schweregrad Enum Der Schweregrad der Warnung. Mögliche Werte sind: UnSpecified, Informational, Low, Medium und High.
status Enum Gibt den aktuellen Status der Warnung an. Mögliche Werte sind: Unknown, New, InProgress und Resolved.
classification Nullable Enum Spezifikation der Warnung. Mögliche Werte sind: TruePositive, Informational, expected activityund FalsePositive.
Entschlossenheit Nullable Enum Gibt die Bestimmung der Warnung an.

Mögliche Bestimmungswerte für jede Klassifizierung sind:

  • Richtig positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – erwägen Sie, Malware den Enumerationsnamen in der öffentlichen API entsprechend (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) und Other (Other) zu ändern.
  • Information, erwartete Aktivität:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend und Other (Sonstige) zu ändern.
  • Falsch positiv:Not malicious (Bereinigen) – Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend (InsufficientData) und Other (Sonstige) zu Not enough data to validate ändern.
  • category String Die Kategorie der Warnung.
    detectionSource Zeichenfolge Erkennungsquelle.
    threatFamilyName Zeichenfolge Bedrohungsfamilie.
    threatName Zeichenfolge Bedrohungsname.
    machineId Zeichenfolge ID einer Computerentität , die der Warnung zugeordnet ist.
    computerDnsName Zeichenfolge vollqualifizierter Computername .
    aadTenantId Zeichenfolge Die Microsoft Entra-ID.
    detectorId Zeichenfolge Die ID des Detektors, der die Warnung ausgelöst hat.
    Kommentare Liste der Warnungskommentare Das Alert Comment-Objekt enthält: kommentarzeichenfolge, createdBy string und createTime date time.
    Beweis Liste der Warnungsbeweis Beweise im Zusammenhang mit der Warnung. Beispiel:

    Hinweis

    Um den 29. August 2022 werden zuvor unterstützte Warnungsermittlungswerte (Apt und SecurityPersonnel) veraltet und über die API nicht mehr verfügbar sein.

    Antwortbeispiel für das Abrufen einer einzelnen Warnung:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn

    Tipp

    Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.