Tipo di risorsa avviso

Si applica a:

Nota

Per l'esperienza completa dell'API Avvisi disponibile in tutti i prodotti Microsoft Defenders, visitare: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Nota

Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.

Consiglio

Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Metodi

Metodo Tipo restituito Descrizione
Ottenere un avviso Avviso Ottenere un singolo oggetto avviso
Elencare avvisi Raccolta di avvisi Raccolta di avvisi elenco
Avviso di aggiornamento Avviso Aggiornare un avviso specifico
Batch, aggiornare gli avvisi Aggiornare un batch di avvisi
Creare un avviso Avviso Creare un avviso in base ai dati degli eventi ottenuti da Ricerca avanzata
Elencare i domini correlati Raccolta di domini Elencare gli URL associati all'avviso
Elencare i file correlati Raccolta di file Elencare le entità file associate all'avviso
Elencare gli INDIRIZZI IP correlati Raccolta IP Elencare gli INDIRIZZI IP associati all'avviso
Ottenere i computer correlati Computer Il computer associato all'avviso
Ottenere gli utenti correlati Utente L'utente associato all'avviso

Proprietà

Proprietà Tipo Descrizione
ID Stringa ID avviso.
title Stringa Titolo dell'avviso.
descrizione Stringa Descrizione dell'avviso.
alertCreationTime Nullable DateTimeOffset Data e ora (in formato UTC) in cui è stato creato l'avviso.
lastEventTime Nullable DateTimeOffset Ultima occorrenza dell'evento che ha attivato l'avviso nello stesso dispositivo.
firstEventTime Nullable DateTimeOffset Prima occorrenza dell'evento che ha attivato l'avviso nel dispositivo.
lastUpdateTime Nullable DateTimeOffset Data e ora (in formato UTC) dell'ultimo aggiornamento dell'avviso.
resolvedTime Nullable DateTimeOffset Data e ora in cui lo stato dell'avviso è stato modificato in Risolto.
incidentId Nullable Long ID evento imprevisto dell'avviso.
investigationId Nullable Long ID indagine correlato all'avviso.
investigationState Enumerazione nullable Stato corrente dell'indagine. I valori possibili sono: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Stringa Proprietario dell'avviso.
rbacGroupName Stringa Nome del gruppo di dispositivi per il controllo degli accessi in base al ruolo.
mitreTechniques Stringa ID tecnica Mitre Enterprise.
relatedUser Stringa Dettagli dell'utente correlato a un avviso specifico.
severità Enumerazione Gravità dell'avviso. I valori possibili sono: UnSpecified, Informational, Low, Medium e High.
stato Enumerazione Specifica lo stato corrente dell'avviso. I valori possibili sono : Unknown, New, InProgress e Resolved.
classificazione Enumerazione nullable Specifica dell'avviso. I valori possibili sono: TruePositive, Informational, expected activitye FalsePositive.
determinazione Enumerazione nullable Specifica la determinazione dell'avviso.

I possibili valori di determinazione per ogni classificazione sono:

  • Vero positivo: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : valutare la possibilità di modificare di conseguenza il nome dell'enumerazione nell'API pubblica ( Malware Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Altro).
  • Attività informativa prevista:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - valutare la possibilità di modificare di conseguenza il nome dell'enumerazione nell'API pubblica e Other (Altro).
  • Falso positivo:Not malicious (Pulito): valutare la possibilità di modificare di conseguenza il nome dell'enumerazione nell'API pubblica ( Not enough data to validate InsufficientData) e Other (Altro).
  • categoria Stringa Categoria dell'avviso.
    detectionSource Stringa Origine di rilevamento.
    threatFamilyName Stringa Famiglia di minacce.
    threatName Stringa Nome della minaccia.
    machineId Stringa ID di un'entità computer associata all'avviso.
    computerDnsName Stringa nome completo del computer .
    aadTenantId Stringa ID Microsoft Entra.
    detectorId Stringa ID del rilevatore che ha attivato l'avviso.
    Commenti Elenco dei commenti degli avvisi L'oggetto Alert Comment contiene: stringa di commento, createdBy string e createTime date time.
    Prove Elenco di prove degli avvisi Evidenza correlata all'avviso. Vedere l'esempio seguente.

    Nota

    Intorno al 29 agosto 2022, i valori di determinazione degli avvisi supportati in precedenza (Apt e SecurityPersonnel) saranno deprecati e non più disponibili tramite l'API.

    Esempio di risposta per ottenere un singolo avviso:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn

    Consiglio

    Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.