Compartilhar via


Tipo de recurso de alerta

Aplica-se a:

Observação

Para obter a experiência completa da API de Alertas disponíveis em todos os produtos do Microsoft Defenders, visite: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Observação

Se for um cliente do Us Government, utilize os URIs listados no Microsoft Defender para Endpoint para clientes do Us Government.

Dica

Para um melhor desempenho, pode utilizar o servidor mais próximo da localização geográfica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Métodos

Método Tipo de retorno Descrição
Obter alerta Alerta Obter um único objeto de alerta
Listar alertas Coleção de alertas Listar coleção de alertas
Atualizar alertas Alerta Atualizar alerta específico
Alertas de atualização em lote Atualizar um lote de alertas
Criar alerta Alerta Criar um alerta com base nos dados de eventos obtidos a partir da Investigação Avançada
Listar domínios relacionados Coleção de domínios Listar URLs associados ao alerta
Listar ficheiros relacionados Coleção de ficheiros Listar as entidades de ficheiro associadas ao alerta
Listar IPs relacionados Coleção de IP Listar IPs associados ao alerta
Obter máquinas relacionadas Computador O computador que está associado ao alerta
Obter utilizadores relacionados Usuário O utilizador que está associado ao alerta

Propriedades

Propriedade Tipo Descrição
ID Cadeia de caracteres ID do alerta.
title String Título do alerta.
description String Descrição de alerta.
alertCreationTime Nullable DateTimeOffset A data e hora (em UTC) em que o alerta foi criado.
lastEventTime Nullable DateTimeOffset A última ocorrência do evento que acionou o alerta no mesmo dispositivo.
firstEventTime Nullable DateTimeOffset A primeira ocorrência do evento que acionou o alerta nesse dispositivo.
lastUpdateTime Nullable DateTimeOffset A data e hora (em UTC) em que o alerta foi atualizado pela última vez.
resolvedTime Nullable DateTimeOffset A data e hora em que o estado do alerta foi alterado para Resolvido.
incidentId Anulável Longo O ID do Incidente do Alerta.
investigationId Anulável Longo O ID da Investigação relacionado com o Alerta.
investigationState Enumeração Anulável O estado atual da Investigação. Os valores possíveis são: Unknown, Terminated, SuccessfullyRemediated, Benign,Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert.
assignedTo Cadeia de caracteres Proprietário do alerta.
rbacGroupName Cadeia de caracteres Nome do grupo de dispositivos do controlo de acesso baseado em funções.
mitreTechniques Cadeia de caracteres ID da técnica mitre Enterprise.
relatedUser Cadeia de caracteres Detalhes do utilizador relacionados com um alerta específico.
severity Enum Gravidade do alerta. Os valores possíveis são: Não Especificado, Informativo, Baixo, Médio e Alto.
status Enum Especifica o estado atual do alerta. Os valores possíveis são: Desconhecido, Novo, Entrada e Resolvido.
classificação Enumeração Anulável Especificação do alerta. Os valores possíveis são: TruePositive, Informational, expected activitye FalsePositive.
determinação Enumeração Anulável Especifica a determinação do alerta.

Os valores de determinação possíveis para cada classificação são:

  • Verdadeiro positivo: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – considere alterar o nome da enumeração na API pública em conformidade, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Outro).
  • Atividade informativa e esperada:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - considere alterar o nome da enumeração na API pública em conformidade e Other (Outro).
  • Falso positivo:Not malicious (Limpo) – considere alterar o nome da enumeração na API pública em conformidade, Not enough data to validate (InsufficientData) e Other (Outro).
  • category Cadeia de caracteres Categoria do alerta.
    detectionSource Cadeia de caracteres Origem de deteção.
    threatFamilyName Cadeia de caracteres Família de ameaças.
    threatName Cadeia de caracteres Nome da ameaça.
    machineId Cadeia de caracteres ID de uma entidade de computador que está associada ao alerta.
    computerDnsName Cadeia de caracteres nome completamente qualificado do computador.
    aadTenantId Cadeia de caracteres O ID do Microsoft Entra.
    detectorId Cadeia de caracteres O ID do detetor que acionou o alerta.
    comentários Lista de comentários de Alerta O objeto Comentário de Alerta contém: cadeia de comentário, createdBy string e createTime date time.
    Evidências Lista de provas de Alerta Provas relacionadas com o alerta. Confira o seguinte exemplo:

    Observação

    Por volta de 29 de agosto de 2022, os valores de determinação de alertas (Apt e Pessoal de Segurança) anteriormente suportados serão preteridos e deixarão de estar disponíveis através da API.

    Exemplo de resposta para obter um único alerta:

    GET https://api.securitycenter.microsoft.com/api/alerts/da637472900382838869_1364969609
    
    {
        "id": "da637472900382838869_1364969609",
        "incidentId": 1126093,
        "investigationId": null,
        "assignedTo": null,
        "severity": "Low",
        "status": "New",
        "classification": null,
        "determination": null,
        "investigationState": "Queued",
        "detectionSource": "WindowsDefenderAtp",
        "detectorId": "17e10bbc-3a68-474a-8aad-faef14d43952",
        "category": "Execution",
        "threatFamilyName": null,
        "title": "Low-reputation arbitrary code executed by signed executable",
        "description": "Binaries signed by Microsoft can be used to run low-reputation arbitrary code. This technique hides the execution of malicious code within a trusted process. As a result, the trusted process might exhibit suspicious behaviors, such as opening a listening port or connecting to a command-and-control (C&C) server.",
        "alertCreationTime": "2021-01-26T20:33:57.7220239Z",
        "firstEventTime": "2021-01-26T20:31:32.9562661Z",
        "lastEventTime": "2021-01-26T20:31:33.0577322Z",
        "lastUpdateTime": "2021-01-26T20:33:59.2Z",
        "resolvedTime": null,
        "machineId": "111e6dd8c833c8a052ea231ec1b19adaf497b625",
        "computerDnsName": "temp123.middleeast.corp.microsoft.com",
        "rbacGroupName": "A",
        "aadTenantId": "a839b112-1253-6432-9bf6-94542403f21c",
        "threatName": null,
        "mitreTechniques": [
            "T1064",
            "T1085",
            "T1220"
        ],
        "relatedUser": {
            "userName": "temp123",
            "domainName": "DOMAIN"
        },
        "comments": [
            {
                "comment": "test comment for docs",
                "createdBy": "secop123@contoso.com",
                "createdTime": "2021-01-26T01:00:37.8404534Z"
            }
        ],
        "evidence": [
            {
                "entityType": "User",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": null,
                "sha256": null,
                "fileName": null,
                "filePath": null,
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": "name",
                "domainName": "DOMAIN",
                "userSid": "S-1-5-21-11111607-1111760036-109187956-75141",
                "aadUserId": "11118379-2a59-1111-ac3c-a51eb4a3c627",
                "userPrincipalName": "temp123@microsoft.com",
                "detectionStatus": null
            },
            {
                "entityType": "Process",
                "evidenceCreationTime": "2021-01-26T20:33:58.6133333Z",
                "sha1": "ff836cfb1af40252bd2a2ea843032e99a5b262ed",
                "sha256": "a4752c71d81afd3d5865d24ddb11a6b0c615062fcc448d24050c2172d2cbccd6",
                "fileName": "rundll32.exe",
                "filePath": "C:\\Windows\\SysWOW64",
                "processId": 3276,
                "processCommandLine": "rundll32.exe  c:\\temp\\suspicious.dll,RepeatAfterMe",
                "processCreationTime": "2021-01-26T20:31:32.9581596Z",
                "parentProcessId": 8420,
                "parentProcessCreationTime": "2021-01-26T20:31:32.9004163Z",
                "parentProcessFileName": "rundll32.exe",
                "parentProcessFilePath": "C:\\Windows\\System32",
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            },
            {
                "entityType": "File",
                "evidenceCreationTime": "2021-01-26T20:33:58.42Z",
                "sha1": "8563f95b2f8a284fc99da44500cd51a77c1ff36c",
                "sha256": "dc0ade0c95d6db98882bc8fa6707e64353cd6f7767ff48d6a81a6c2aef21c608",
                "fileName": "suspicious.dll",
                "filePath": "c:\\temp",
                "processId": null,
                "processCommandLine": null,
                "processCreationTime": null,
                "parentProcessId": null,
                "parentProcessCreationTime": null,
                "parentProcessFileName": null,
                "parentProcessFilePath": null,
                "ipAddress": null,
                "url": null,
                "registryKey": null,
                "registryHive": null,
                "registryValueType": null,
                "registryValue": null,
                "accountName": null,
                "domainName": null,
                "userSid": null,
                "aadUserId": null,
                "userPrincipalName": null,
                "detectionStatus": "Detected"
            }
        ]
    }
    

    Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn

    Dica

    Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.