MICROSOFT DEFENDER ATP
Microsoft Defender ATP — это единая платформа для предотвращения, обнаружения после нарушений, автоматического расследования и реагирования. Дополнительные сведения см. здесь: http://aka.ms/wdatp
Этот соединитель доступен в следующих продуктах и регионах:
| Услуга | Class | Регионы |
|---|---|---|
| Copilot Studio | Премия | Все регионы Power Automate за исключением следующих: — Облако Китая, управляемое 21Vianet |
| Логические приложения | Стандарт | Все регионы Logic Apps , кроме следующих: - Azure регионы Китая |
| Power Apps | Премия | Все регионы Power Apps кроме следующих: — Облако Китая, управляемое 21Vianet |
| Power Automate | Премия | Все регионы Power Automate за исключением следующих: — Облако Китая, управляемое 21Vianet |
| Контакт | |
|---|---|
| Имя | Microsoft |
| URL | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
| Метаданные соединителя | |
|---|---|
| Publisher | Microsoft |
| Веб-сайт | https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp |
| Политика конфиденциальности | https://privacy.microsoft.com/privacystatement |
| Категории | Безопасность; ИТ-операции |
Создание подключения
Соединитель поддерживает следующие типы проверки подлинности:
| По умолчанию | Параметры для создания подключения. | Все регионы | Недоступен для совместного использования |
По умолчанию
Применимо: все регионы
Параметры для создания подключения.
Это недоступно для общего доступа. Если приложение power предоставляется другому пользователю, пользователю будет предложено явно создать новое подключение.
Ограничения регулирования
| Имя | Вызовы | Период обновления |
|---|---|---|
| Вызовы API для каждого подключения | 100 | 60 секунд |
Действия
| Ips — получение статистики для заданного IP-адреса |
Извлекает из статистики ATP Windows Defender, связанной с заданным IP-адресом, заданным в формате ipv4 или ipv6. |
| Действия по исправлению— получение списка связанных компьютеров (предварительная версия) |
Извлекает из ATP Windows Defender связанные компьютеры с определенным действием исправления |
| Действия — запуск динамического ответа |
Выполнение команд API динамических ответов для одного компьютера |
| Действия — изоляция компьютера |
Изоляция компьютера от сети |
| Действия — несосоляющий компьютер |
Унизолировать компьютер из сети |
| Действия — получение единого исследования |
Получение из Microsoft Defender ATP конкретного исследования |
| Действия — сбор пакета исследования |
Сбор пакета исследования с компьютера |
| Действия. Запуск автоматического исследования на компьютере (предварительная версия) |
Запуск автоматического исследования на компьютере |
| Действия. Запуск антивирусной проверки |
Запуск проверки антивирусной программы Windows Defender на компьютере |
| Действия. Инициирование исследования на компьютере (не рекомендуется) |
Инициирование исследования на компьютере |
| Действия. Ограничение выполнения приложения |
Ограничение выполнения всех приложений на компьютере, кроме предопределенного набора |
| Действия. Отмена действия одного компьютера |
Отмена определенного действия компьютера |
| Действия. Получение URI пакета исследования |
Получение универсального кода ресурса (URI), который позволяет скачать пакет исследования |
| Действия. Получение действия с одним компьютером |
Получение из ATP Windows Defender для определенного действия компьютера |
| Действия. Получение результата команды динамического ответа скачать URI |
Получение URI скачивания результатов для завершенной команды динамического ответа |
| Действия. Получение списка действий компьютера |
Получение из ATP Windows Defender последних действий компьютера |
| Действия. Получение списка исследований |
Получение из Microsoft Defender ATP последних расследований |
| Действия. Удаление ограничения на выполнение приложения |
Включение выполнения любого приложения на компьютере |
| Домены — получение статистики для заданного доменного имени |
Получение из статистики ATP в Защитнике Windows, связанной с заданным доменным именем |
| Задачи по исправлению— получение списка действий по исправлению (предварительная версия) |
Получение из ATP Windows Defender действия remdiation |
| ИсправлениеActivities — получение действия единого исправления (предварительная версия) |
Получение из ATP в Windows Defender определенного действия по исправлению |
| Компьютеры — компьютер тегов |
Добавление или удаление тега на компьютер |
| Компьютеры — получение одного компьютера |
Получение из ATP Windows Defender на определенном компьютере |
| Компьютеры — получение списка компьютеров |
Получение из Windows ATP в Защитнике последних компьютеров |
| Оповещения — обновление оповещений |
Обновление оповещения ATP в Защитнике Windows |
| Оповещения — получение единого оповещения |
Получение из ATP в Windows Defender определенное оповещение |
| Оповещения — получение списка оповещений |
Получение из Windows ATP в Защитнике последних оповещений |
| Оповещения — создание оповещения |
Создание оповещений на основе определенного события |
| Расширенная охота (не рекомендуется) |
Запустите настраиваемый запрос по Microsoft Defender для конечной точки данным. Это действие поддерживает только запросы по таблицам MDE. Это действие устарело и будет прекращено 1 февраля 2027 года. Перейдите в Microsoft Graph Security API. Рекомендации по миграции см. в статье: https://learn.microsoft.com/en-us/graph/api/resources/security-api-overview?view=graph-rest-1.0#powerplatformflow-migrationpowerapps-power-automate-logic-apps |
| Файлы— получение статистики для заданного файла |
Получение из статистики ATP в Защитнике Windows для заданного файла по идентификатору Sha1 или Sha256 |
Ips — получение статистики для заданного IP-адреса
Извлекает из статистики ATP Windows Defender, связанной с заданным IP-адресом, заданным в формате ipv4 или ipv6.
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
IP-адрес
|
Ip Address | True | string |
IP-адрес |
|
Период обратного просмотра в часах, по умолчанию — 24 часа.
|
lookBackHours | integer |
Период обратного просмотра в часах, по умолчанию — 24 часа. |
Возвращаемое значение
Отдельная сущность статистики IP-адресов
- Статистика IP-адресов
- IpStats
Действия по исправлению— получение списка связанных компьютеров (предварительная версия)
Извлекает из ATP Windows Defender связанные компьютеры с определенным действием исправления
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор действия исправления
|
RemediationID | True | string |
Идентификатор действия исправления для получения |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Количество компьютеров
|
@odata.count | integer |
Количество доступных компьютеров по этому запросу |
|
Machines
|
value | array of Machine |
Возвращенные компьютеры |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
Действия — запуск динамического ответа
Выполнение команд API динамических ответов для одного компьютера
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
Machine ID | True | string |
Идентификатор компьютера для запуска сеанса динамического ответа |
|
Комментарий
|
Comment | True | string |
Комментарий для связывания с изоляцией |
|
Тип команды
|
type | True | string |
Тип команды |
|
Ключ параметра команды
|
key | string |
Ключ параметра команды |
|
|
Значение параметра команды
|
value | string |
Значение параметра команды |
Возвращаемое значение
Одна сущность действия компьютера
- Действие компьютера
- MachineAction
Действия — изоляция компьютера
Изоляция компьютера от сети
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
Machine ID | True | string |
Идентификатор компьютера для изоляции |
|
Комментарий
|
Comment | True | string |
Комментарий для связывания с изоляцией |
|
Тип изоляции
|
IsolationType | True | string |
Тип изоляции. Допустимые значения: Full (для полной изоляции) или "Выборочная" (для ограничения доступа к сети только ограниченного набора приложений). |
Возвращаемое значение
Одна сущность действия компьютера
- Действие компьютера
- MachineAction
Действия — несосоляющий компьютер
Унизолировать компьютер из сети
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
Machine ID | True | string |
Идентификатор компьютера для несосоляемого |
|
Комментарий
|
Comment | True | string |
Комментарий для связывания с унисолем |
Возвращаемое значение
Одна сущность действия компьютера
- Действие компьютера
- MachineAction
Действия — получение единого исследования
Получение из Microsoft Defender ATP конкретного исследования
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор расследования
|
Investigation ID | True | string |
Идентификатор извлекаемого исследования |
Возвращаемое значение
Одна сущность исследования
- Исследование
- Investigation
Действия — сбор пакета исследования
Сбор пакета исследования с компьютера
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
Machine ID | True | string |
Идентификатор компьютера для сбора расследования из |
|
Комментарий
|
Comment | True | string |
Комментарий, связанный с коллекцией |
Возвращаемое значение
Одна сущность действия компьютера
- Действие компьютера
- MachineAction
Действия. Запуск автоматического исследования на компьютере (предварительная версия)
Запуск автоматического исследования на компьютере
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
Machine ID | True | string |
Идентификатор компьютера для изучения |
|
Комментарий
|
Comment | True | string |
Комментарий, связанный с расследованием |
Возвращаемое значение
Одна сущность исследования
- Исследование
- Investigation
Действия. Запуск антивирусной проверки
Запуск проверки антивирусной программы Windows Defender на компьютере
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
Machine ID | True | string |
Идентификатор компьютера для сканирования |
|
Комментарий
|
Comment | True | string |
Комментарий, связанный с запросом сканирования |
|
Тип сканирования
|
ScanType | True | string |
Тип выполняемого сканирования. Допустимые значения: Quick или Full |
Возвращаемое значение
Одна сущность действия компьютера
- Действие компьютера
- MachineAction
Действия. Инициирование исследования на компьютере (не рекомендуется)
Инициирование исследования на компьютере
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
Machine ID | True | string |
Идентификатор компьютера для изучения |
|
Комментарий
|
Comment | True | string |
Комментарий, связанный с расследованием |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор исследования
|
value | string |
Идентификатор расследования |
Действия. Ограничение выполнения приложения
Ограничение выполнения всех приложений на компьютере, кроме предопределенного набора
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
Machine ID | True | string |
Идентификатор компьютера для ограничения |
|
Комментарий
|
Comment | True | string |
Комментарий, связанный с ограничением |
Возвращаемое значение
Одна сущность действия компьютера
- Действие компьютера
- MachineAction
Действия. Отмена действия одного компьютера
Отмена определенного действия компьютера
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор действия компьютера
|
Machine Action ID | True | string |
Идентификатор действия компьютера для отмены |
|
Комментарий
|
Comment | True | string |
Комментарий, связанный с отменой действия компьютера |
Возвращаемое значение
Одна сущность действия компьютера
- Действие компьютера
- MachineAction
Действия. Получение URI пакета исследования
Получение универсального кода ресурса (URI), который позволяет скачать пакет исследования
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор действия
|
Machine action ID | True | string |
Идентификатор коллекции пакетов исследования |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Универсальный код ресурса (URI) SAS пакета
|
value | string |
Универсальный код ресурса (URI) SAS пакета исследования |
Действия. Получение действия с одним компьютером
Получение из ATP Windows Defender для определенного действия компьютера
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор действия компьютера
|
Machine Action ID | True | string |
Идентификатор действия компьютера, извлекаемого |
Возвращаемое значение
Одна сущность действия компьютера
- Действие компьютера
- MachineAction
Действия. Получение результата команды динамического ответа скачать URI
Получение URI скачивания результатов для завершенной команды динамического ответа
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор действия компьютера
|
Machine Action ID | True | string |
Идентификатор действия компьютера |
|
Индекс команды динамического ответа
|
Command Index | True | integer |
Индекс команды динамического ответа, чтобы получить URI скачивания результатов для |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Скачать URI
|
value | string |
Команда динамического ответа скачать URI |
Действия. Получение списка действий компьютера
Получение из ATP Windows Defender последних действий компьютера
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Результаты фильтрации
|
$filter | string |
Фильтрует результаты с помощью синтаксиса OData. |
|
|
Выбирает свойства
|
$select | string |
Выбирает свойства, которые следует включить в ответ, по умолчанию используется для всех. |
|
|
Сортировка результатов
|
$orderby | string |
Сортирует результаты. |
|
|
Возвращает первые результаты
|
$top | integer |
Возвращает только первые результаты n. |
|
|
Пропускает первые результаты
|
$skip | integer |
Пропускает первые результаты n. |
|
|
Включает число
|
$count | boolean |
Включает количество результатов сопоставления в ответе. |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Количество действий компьютера
|
@odata.count | integer |
Количество доступных действий компьютера по этому запросу |
|
Действия компьютера
|
value | array of MachineAction |
Возвращенные действия компьютера |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
Действия. Получение списка исследований
Получение из Microsoft Defender ATP последних расследований
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Результаты фильтрации
|
$filter | string |
Фильтрует результаты с помощью синтаксиса OData. |
|
|
Выбирает свойства
|
$select | string |
Выбирает свойства, которые следует включить в ответ, по умолчанию используется для всех. |
|
|
Сортировка результатов
|
$orderby | string |
Сортирует результаты. |
|
|
Возвращает первые результаты
|
$top | integer |
Возвращает только первые результаты n. |
|
|
Пропускает первые результаты
|
$skip | integer |
Пропускает первые результаты n. |
|
|
Включает число
|
$count | boolean |
Включает количество результатов сопоставления в ответе. |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Количество расследований
|
@odata.count | integer |
Количество доступных расследований по этому запросу |
|
Исследования
|
value | array of Investigation |
Расследования вернулись |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
Действия. Удаление ограничения на выполнение приложения
Включение выполнения любого приложения на компьютере
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
Machine ID | True | string |
Идентификатор компьютера для неограниченных ограничений |
|
Комментарий
|
Comment | True | string |
Комментарий для связывания с удалением ограничений |
Возвращаемое значение
Одна сущность действия компьютера
- Действие компьютера
- MachineAction
Домены — получение статистики для заданного доменного имени
Получение из статистики ATP в Защитнике Windows, связанной с заданным доменным именем
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Доменное имя
|
Domain Name | True | string |
Доменное имя |
|
Период обратного просмотра в часах, по умолчанию — 24 часа.
|
lookBackHours | integer |
Период обратного просмотра в часах, по умолчанию — 24 часа. |
Возвращаемое значение
Отдельная сущность статистики IP-адресов
- Статистика домена
- DomainStats
Задачи по исправлению— получение списка действий по исправлению (предварительная версия)
Получение из ATP Windows Defender действия remdiation
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Результаты фильтрации
|
$filter | string |
Фильтрует результаты с помощью синтаксиса OData. |
|
|
Выбирает свойства
|
$select | string |
Выбирает свойства, которые следует включить в ответ, по умолчанию используется для всех. |
|
|
Сортировка результатов
|
$orderby | string |
Сортирует результаты. |
|
|
Возвращает первые результаты
|
$top | integer |
Возвращает только первые результаты n. |
|
|
Пропускает первые результаты
|
$skip | integer |
Пропускает первые результаты n. |
|
|
Включает число
|
$count | boolean |
Включает количество результатов сопоставления в ответе. |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Число действий по исправлению
|
@odata.count | integer |
Количество действий по исправлению по этому запросу |
|
Действия по исправлению
|
value | array of RemediationActivity |
Возвращенные действия по исправлению |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
ИсправлениеActivities — получение действия единого исправления (предварительная версия)
Получение из ATP в Windows Defender определенного действия по исправлению
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор действия исправления
|
RemediationID | True | string |
Идентификатор действия исправления для получения |
Возвращаемое значение
Одна сущность действия исправления
- Действие исправления
- RemediationActivity
Компьютеры — компьютер тегов
Добавление или удаление тега на компьютер
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
Machine ID | True | string |
Идентификатор компьютера, к которому следует добавить или удалить тег. |
|
Ценность
|
Value | True | string |
Тег для добавления или удаления |
|
Действие
|
Action | True | string |
Действие, которое нужно выполнить. Значение должно быть одним из "Добавить" (для добавления тега) или "Удалить" (для удаления тега) |
Возвращаемое значение
Одна сущность компьютера
- Компьютер
- Machine
Компьютеры — получение одного компьютера
Получение из ATP Windows Defender на определенном компьютере
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
Machine ID | True | string |
Идентификатор извлекаемого компьютера |
Возвращаемое значение
Одна сущность компьютера
- Компьютер
- Machine
Компьютеры — получение списка компьютеров
Получение из Windows ATP в Защитнике последних компьютеров
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Результаты фильтрации
|
$filter | string |
Фильтрует результаты с помощью синтаксиса OData. |
|
|
Выбирает свойства
|
$select | string |
Выбирает свойства, которые следует включить в ответ, по умолчанию используется для всех. |
|
|
Сортировка результатов
|
$orderby | string |
Сортирует результаты. |
|
|
Возвращает первые результаты
|
$top | integer |
Возвращает только первые результаты n. |
|
|
Пропускает первые результаты
|
$skip | integer |
Пропускает первые результаты n. |
|
|
Включает число
|
$count | boolean |
Включает количество результатов сопоставления в ответе. |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Количество компьютеров
|
@odata.count | integer |
Количество доступных компьютеров по этому запросу |
|
Machines
|
value | array of Machine |
Возвращенные компьютеры |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
Оповещения — обновление оповещений
Обновление оповещения ATP в Защитнике Windows
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор оповещения
|
Alert ID | True | string |
Идентификатор оповещения для обновления |
|
Состояние
|
status | string |
Состояние оповещения. Один из "New", "InProgress" и "Разрешено" |
|
|
Кому назначено:
|
assignedTo | string |
Пользователь, которому нужно назначить оповещение |
|
|
Classification
|
classification | string |
Классификация оповещения. Один из "Неизвестный", "FalsePositive", "TruePositive" |
|
|
Решимость
|
determination | string |
Определение оповещения. Один из NotAvailable, Apt, "Вредоносные программы", "SecurityPersonnel", "SecurityTesting", "UnwantedSoftware", "Other" |
Возвращаемое значение
Одна сущность оповещений
- Alert
- Alert
Оповещения — получение единого оповещения
Получение из ATP в Windows Defender определенное оповещение
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор оповещения
|
Alert ID | True | string |
Идентификатор оповещения для получения |
Возвращаемое значение
Одна сущность оповещений
- Alert
- Alert
Оповещения — получение списка оповещений
Получение из Windows ATP в Защитнике последних оповещений
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Развертывает сущности
|
$expand | string |
Развертывает связанные сущности в строку. |
|
|
Результаты фильтрации
|
$filter | string |
Фильтрует результаты с помощью синтаксиса OData. |
|
|
Выбирает свойства
|
$select | string |
Выбирает свойства, которые следует включить в ответ, по умолчанию используется для всех. |
|
|
Сортировка результатов
|
$orderby | string |
Сортирует результаты. |
|
|
Возвращает первые результаты
|
$top | integer |
Возвращает только первые результаты n. |
|
|
Пропускает первые результаты
|
$skip | integer |
Пропускает первые результаты n. |
|
|
Включает число
|
$count | boolean |
Включает количество результатов сопоставления в ответе. |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Количество оповещений
|
@odata.count | integer |
Количество доступных оповещений по этому запросу |
|
Уведомления
|
value | array of Alert |
Возвращенные оповещения |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
Оповещения — создание оповещения
Создание оповещений на основе определенного события
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор компьютера
|
machineId | True | string |
Идентификатор компьютера, на котором было определено событие |
|
Идентификатор отчета
|
reportId | True | integer |
Идентификатор отчета события |
|
Время события
|
eventTime | True | string |
Время события в виде строки, например 2018-08-03T16:45:21.7115183Z |
|
Severity
|
severity | True | string |
Степень серьезности оповещения. |
|
Категория
|
category | True | string |
Категория оповещения |
|
Название
|
title | True | string |
Заголовок оповещения |
|
Description
|
description | True | string |
Описание оповещения |
|
Рекомендуемое действие
|
recommendedAction | True | string |
Рекомендуемое действие для оповещения |
Возвращаемое значение
Одна сущность оповещений
- Alert
- Alert
Расширенная охота (не рекомендуется)
Запустите настраиваемый запрос по Microsoft Defender для конечной точки данным. Это действие поддерживает только запросы по таблицам MDE. Это действие устарело и будет прекращено 1 февраля 2027 года. Перейдите в Microsoft Graph Security API. Рекомендации по миграции см. в статье: https://learn.microsoft.com/en-us/graph/api/resources/security-api-overview?view=graph-rest-1.0#powerplatformflow-migrationpowerapps-power-automate-logic-apps
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Query
|
Query | True | string |
Выполнение запроса |
Возвращаемое значение
Файлы— получение статистики для заданного файла
Получение из статистики ATP в Защитнике Windows для заданного файла по идентификатору Sha1 или Sha256
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор файла — Sha1 или Sha256
|
File ID | True | string |
Идентификатор файла — Sha1 или Sha256 |
|
Период обратного просмотра в часах, по умолчанию — 24 часа.
|
lookBackHours | integer |
Период обратного просмотра в часах, по умолчанию — 24 часа. |
Возвращаемое значение
Отдельная сущность статистики файлов
- Статистика файлов
- FileStats
Триггеры
| Триггеры при создании нового действия исправления (предварительная версия) |
Триггеры при создании нового действия исправления |
| Триггеры — триггер при возникновении нового оповещения WDATP |
Подписка на оповещения ATP в Защитнике Windows |
Триггеры при создании нового действия исправления (предварительная версия)
Триггеры при создании нового действия исправления
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Число действий по исправлению
|
@odata.count | integer |
Количество действий по исправлению по этому запросу |
|
Действия по исправлению
|
value | array of RemediationActivity |
Возвращенные действия по исправлению |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
Триггеры — триггер при возникновении нового оповещения WDATP
Определения
Alert
Одна сущность оповещений
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор оповещения
|
id | string |
Идентификатор оповещения |
|
ИД инцидента
|
incidentId | integer |
Идентификатор инцидента |
|
Идентификатор исследования
|
investigationId | integer |
Идентификатор расследования |
|
Серьезность оповещения
|
severity | string |
Серьезность оповещения |
|
Состояние
|
status | string |
Состояние оповещения |
|
Description
|
description | string |
Описание предупреждения |
|
Время создания оповещений
|
alertCreationTime | date-time |
Время создания оповещения |
|
Категория
|
category | string |
Категория оповещений |
|
Название
|
title | string |
Название оповещения |
|
Имя семейства угроз
|
threatFamilyName | string |
Имя семейства угроз |
|
Источник обнаружения
|
detectionSource | string |
Источник обнаружения |
|
Classification
|
classification | string |
классификация оповещений; |
|
Решимость
|
determination | string |
Определение оповещений |
|
Кому назначено:
|
assignedTo | string |
Лицо, которому было назначено оповещение |
|
Разрешенное время
|
resolvedTime | string |
Время разрешения оповещения |
|
Время последнего события
|
lastEventTime | date-time |
Время последнего события, связанного с оповещением |
|
Первое время события
|
firstEventTime | date-time |
Время первого события, связанного с оповещением |
|
Идентификатор компьютера
|
machineId | string |
Идентификатор компьютера, связанного с оповещением |
Компьютер
Одна сущность компьютера
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор компьютера
|
id | string |
Идентификатор компьютера |
|
Имя компьютера
|
computerDnsName | string |
Имя компьютера |
|
Первый вид
|
firstSeen | date-time |
Время первого события, полученного компьютером |
|
Был(-а) в сети
|
lastSeen | date-time |
Время последнего события, полученного компьютером |
|
Платформа ОС
|
osPlatform | string |
Платформа ОС компьютера |
|
Версия ОС
|
osVersion | string |
Версия ОС компьютера |
|
Имя системного продукта
|
systemProductName | date-time |
systemProductName |
|
Последний IP-адрес
|
lastIpAddress | string |
Последний IP-адрес компьютера |
|
Последний внешний IP-адрес
|
lastExternalIpAddress | string |
Последний внешний IP-адрес компьютера |
|
Версия агента
|
agentVersion | string |
Версия агента |
|
Сборка ОС
|
osBuild | integer |
Сборка ОС компьютера |
|
Состояние работоспособности
|
healthStatus | string |
Состояние работоспособности компьютера |
|
Присоединено Microsoft Entra ID
|
isAadJoined | boolean |
Флаг, указывающий, присоединен ли компьютер к Microsoft Entra ID |
|
Теги компьютера
|
machineTags | array of string |
Теги, связанные с компьютером |
|
Идентификатор группы RBAC
|
rbacGroupId | integer |
Идентификатор группы RBAC, к которой принадлежит компьютер |
|
Имя группы RBAC
|
rbacGroupName | string |
Имя группы RBAC, к которой принадлежит компьютер |
|
Оценка риска
|
riskScore | string |
Оценка, указывающая, сколько компьютер находится под угрозой |
|
идентификатор устройства Microsoft Entra ID
|
aadDeviceId | string |
aadDeviceId |
ИсправлениеActivity
Одна сущность действия исправления
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор действия исправления
|
id | string |
Идентификатор действия исправления |
|
Название действия исправления
|
title | string |
Заголовок активации исправления |
|
Создано
|
createdOn | date-time |
Время создания действия исправления |
|
Состояние последнего изменения
|
statusLastModifiedOn | date-time |
Время последнего изменения состояния |
|
Идентификатор создателя
|
requesterId | string |
Идентификатор создателя действия исправления |
|
Электронная почта создателя
|
requesterEmail | string |
Адрес электронной почты создателя действия исправления |
|
Состояние
|
status | string |
Состояние действия исправления |
|
Description
|
description | string |
Описание действия исправления |
|
Связанный компонент
|
relatedComponent | string |
Связанный компонент действия исправления |
|
Целевые устройства
|
targetDevices | integer |
Количество целевых компьютеров действия исправления |
|
Имена групп Rbac
|
rbacGroupNames | array of string |
Имена групп rbac, связанные с действием исправления |
|
Фиксированные устройства
|
fixedDevices | integer |
Число фиксированных компьютеров действия исправления |
|
Заметки создателя
|
requesterNotes | string |
Заметки создателя действия повторного изменения |
|
Из-за
|
dueOn | date-time |
Время выполнения действия исправления |
|
Категория
|
category | string |
Категория действий исправления |
|
Тип исправления влияния на производительность
|
productivityImpactRemediationType | string |
Тип влияния на производительность исправления |
|
Priority
|
priority | string |
Приоритет действия исправления |
|
Метод завершения
|
completionMethod | string |
Метод завершения действия исправления |
|
Идентификатор завершения
|
completerId | string |
Идентификатор объекта завершения действия исправления |
|
Полный адрес электронной почты
|
completerEmail | string |
Адрес электронной почты завершения действия исправления |
|
Идентификатор конфигурации безопасности
|
scid | string |
Идентификатор конфигурации безопасности действия исправления |
|
Тип
|
type | string |
Тип действия исправления |
|
Идентификатор продукта
|
productId | string |
Идентификатор продукта |
|
Идентификатор поставщика
|
vendorId | string |
Идентификатор поставщика |
|
Идентификатор имени
|
nameId | string |
Идентификатор имени |
|
Рекомендуемая версия
|
recommendedVersion | string |
Рекомендуемая версия |
|
Рекомендуемый поставщик
|
recommendedVendor | string |
Рекомендуемый поставщик |
|
Рекомендуемая программа
|
recommendedProgram | string |
Рекомендуемая программа |
|
Справочник по рекомендациям
|
RecommendationReference | string |
Справочник по рекомендациям |
MachineAction
Одна сущность действия компьютера
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор действия
|
id | string |
Идентификатор действия компьютера |
|
Тип действия
|
type | string |
Тип действия (например, "Изоляция", "CollectInvestigationPackage", ...) |
|
Запрашивающего
|
requestor | string |
Пользователь, запрашивающий действие компьютера |
|
Комментарий
|
requestorComment | string |
Комментарий, связанный с действием компьютера |
|
Состояние
|
status | string |
Состояние действия компьютера (например, InProgress) |
|
Идентификатор
|
machineId | string |
Идентификатор компьютера, на котором выполнено действие |
|
Время создания
|
creationDateTimeUtc | date-time |
Время в формате UTC, в течение которого было запрошено действие |
|
Время последнего обновления
|
lastUpdateDateTimeUtc | date-time |
Последнее время в формате UTC, в течение которого было обновлено действие |
|
Commands
|
commands | array of LiveResponseCommandStatus |
Команды действий на компьютере динамического реагирования |
LiveResponseCommandStatus
Одна команда в сущности действия компьютера Live Response
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Индекс команд
|
index | integer |
Индекс команды |
|
Время начала выполнения команды
|
startTime | date-time |
Время начала выполнения команды в формате UTC |
|
Время окончания выполнения команды
|
endTime | date-time |
Время окончания выполнения команды в формате UTC |
|
Состояние команды
|
commandStatus | string |
Состояние выполнения команды (например, "Завершено") |
|
Ошибки команд
|
errors | array of string |
Список ошибок выполнения команд. Если сообщения об ошибках не сообщались, это будет пустой список. |
|
command
|
command | LiveResponseCommand |
LiveResponseCommand
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Тип команды
|
type | string |
Тип команды |
|
Командные парамы
|
params | array of object |
Список параметров команды. |
|
Ключ параметра команды
|
params.key | string |
Ключ параметра команды |
|
Значение параметра команды
|
params.value | string |
Значение параметра команды |
FileStats
Отдельная сущность статистики файлов
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Sha1
|
sha1 | string |
Sha1 файла |
|
Глобальная распространенность
|
globallyPrevalence | integer |
Глобальная распространенность файла. |
|
Глобальный первый наблюдаемый
|
globalFirstObserved | date-time |
При первом наблюдении за файлом во всем мире. |
|
Глобальный последний наблюдаемый
|
globalLastObserved | date-time |
Время последнего наблюдения файла. |
|
Распространенность организации
|
organizationPrevalence | integer |
Распространенность файлов в организации |
|
Первый наблюдаемый организацией
|
orgFirstSeen | date-time |
При первом наблюдении за файлом в организации. |
|
Последняя наблюдаемая организация
|
orgLastSeen | date-time |
При последнем наблюдении за файлом в организации. |
|
Верхние имена файлов
|
topFileNames | array of string |
Имена файлов, представленных этим файлом. |
IpStats
Отдельная сущность статистики IP-адресов
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Ip-адрес
|
ipAddress | string |
Ip-адрес |
|
Распространенность организации
|
organizationPrevalence | integer |
Распространенность IP-адресов в организации |
|
Первый наблюдаемый организацией
|
orgFirstSeen | date-time |
При первом обнаружении IP-адреса в организации. |
|
Последняя наблюдаемая организация
|
orgLastSeen | date-time |
При последнем обнаружении IP-адреса в организации. |
DomainStats
Отдельная сущность статистики IP-адресов
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Host
|
host | string |
Узел домена. |
|
Распространенность организации
|
organizationPrevalence | integer |
Распространенность домена в организации |
|
Первый наблюдаемый организацией
|
orgFirstSeen | date-time |
При первом наблюдении домена в организации. |
|
Последняя наблюдаемая организация
|
orgLastSeen | date-time |
При последнем наблюдении домена в организации. |
Исследование
Одна сущность исследования
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор
|
id | string |
Идентификатор расследования |
|
Состояние исследования
|
state | string |
Состояние расследования (например, "Доброкачественные", "Работает" и т. д.) |
|
Сведения о состоянии
|
statusDetails | string |
Сведения о состоянии |
|
Имя компьютера
|
computerDnsName | string |
Имя компьютера |
|
Идентификатор компьютера
|
machineId | string |
Идентификатор компьютера |
|
Время запуска
|
startTime | date-time |
Время в формате UTC, в которое было начато расследование |
|
Время окончания
|
endTime | date-time |
Время в формате UTC, в течение которого было завершено расследование |
WebHookNotification
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор оповещения
|
id | string | |
|
Идентификатор компьютера
|
machineId | string |