警示 API

警示 API 會提供 Defender for Cloud Apps 所識別之需要注意之即時風險的相關資訊。 警示可能是由可疑的使用模式或包含違反公司原則的內容的檔案所產生。

下列列出支援的要求:

已淘汰的要求

下表列出已棄用為過時的要求,以及取代它們的要求。

過時的要求 替代
大量解僱 關閉誤報
大量解析 關閉真陽性
關閉警示 關閉誤報

注意事項

已淘汰的要求已對應至其替代方案,以避免中斷。 不過,如果您在環境中使用過時的要求,建議您將其更新為替代方案。

屬性

回應物件會定義下列屬性。

屬性 類型 描述
_id int 警示類型識別碼
時間戳記 long 引發警示的時間
實體 目錄 與警示相關的實體清單
title 字串 警示的標題
描述 字串 警示的描述
isMarkdown bool 旗標,指出警示的描述是否已採用 HTML
狀態值 int 警示的狀態。 可能的值包括:

0:未讀
1:閱讀
2:已存檔
嚴重性值 int 警示的嚴重性。 可能的值包括:

0:低
1:中等
2:高
3:資訊
resolutionStatus值 int 警示的狀態。 可能的值包括:

0:開啟
1:駁回
2:已解決
3:FALSE_POSITIVE
4:良性
5:TRUE_POSITIVE
劇本 目錄 風險類別。 可能的值包括:

0:THREAT_DETECTION
1:PRIVILEGED_ACCOUNT_MONITORING
2:合規性
3:DLP
4:發現
5:SHARING_CONTROL
7:ACCESS_CONTROL
8:CONFIGURATION_MONITORING
辨識項 目錄 警示主要部分的簡短說明清單
意圖 目錄 指定警示背後的終止鏈相關意圖的欄位。 可以在此欄位中報告多個值。 意圖列舉值遵循 MITRE att@ck企業矩陣模型。 如需組成每個意圖之不同技術的進一步指引,請參閱 MITRE 的檔。
可能的值包括:

0:未知
1:預攻
2:INITIAL_ACCESS
3:堅持
4:PRIVILEGE_ESCALATION
5:DEFENSE_EVASION
6:CREDENTIAL_ACCESS
7:發現
8:LATERAL_MOVEMENT
9:執行
10:收集
11:外洩
12:COMMAND_AND_CONTROL
13:衝擊
是預覽 bool 最近以 GA 形式發行的警示
稽核 (可選) 目錄 與警示相關的事件識別碼清單

篩選

如需篩選器運作方式的相關資訊,請參閱 篩選器

下表說明支援的篩選條件:

篩選器 類型 運算子 描述
實體.實體 實體 PK 方程式,neq 篩選與指定實體相關的警示。 範例:[{ "id": "entity-id", "inst": 0 }]
實體.ip 字串 均衡器,neq 篩選與指定 IP 位址相關的警示
實體服務 整數 均衡器,neq 篩選與指定服務 appId 相關的警示,例如:11770
實體實例 整數 均衡器,neq 篩選與指定執行個體相關的警示,例如:11770、1059065
實體政策 字串 均衡器,neq 篩選與指定原則相關的警示
實體.file 字串 均衡器,neq 篩選與指定檔案相關的警示
alert開啟 布林值 均衡器 如果設定為 true,則只會傳回開啟的警示,如果設定為 false,則只會傳回已關閉的警示
嚴重 整數 均衡器,neq 依嚴重性篩選。 可能的值包括:

0:低
1:中
2:高
resolution狀態 整數 均衡器,neq 依警示解決狀態篩選,可能的值包括:

0:開啟
1:已解除 (舊版狀態)
2:解決了 (舊版狀態)
3:因誤報而關閉
4:關閉為良性
5:關閉為真陽性
讀取 布林值 均衡器 如果設定為 true,則只會傳回讀取警示,如果設定為 false,則傳回未讀取警示
date 時間戳記 LTE、GTE、範圍、lte_ndays、gte_ndays 依觸發警示的時間篩選
解決日期 時間戳記 LTE、GTE、範圍 依警示解決時間篩選
風險 整數 均衡器,neq 依風險篩選
alertType 整數 均衡器,neq 依警示類型篩選
ID 字串 均衡器,neq 依警示識別碼篩選
來源 字串 均衡器 警示的來源 (內建或原則)

如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證