Microsoft Security Alert-Ereignisse
Dieser Artikel enthält die Eigenschaften und das Schema für Microsoft Security Alert-Ereignisse, die von der Microsoft Graph-API veröffentlicht werden. Eine Einführung in Ereignisschemas finden Sie unter CloudEvents-Schema.
Verfügbare Ereignistypen
Diese Ereignisse werden ausgelöst, wenn eine Sicherheitswarnung durch den Betrieb über diese Ressourcen mithilfe der Microsoft Graph-API erstellt wird.
| Ereignisname | Beschreibung |
|---|---|
| Microsoft.Graph.AlertCreated | Wird ausgelöst, wenn eine neue Warnung in Microsoft Security erstellt wird. |
Beispielereignis
Wenn ein Ereignis ausgelöst wird, sendet der Event Grid-Dienst Daten zu diesem Ereignis an Ziele, die es abonniert haben. Dieser Abschnitt enthält ein Beispiel dafür, wie diese Daten für jedes Microsoft Security Alert-Ereignis aussehen würden.
Microsoft.Graph.AlertCreated-Ereignis
{
"id": "00d8a100-2e92-4bfa-86e1-0056dacd0fce",
"type": "Microsoft.Graph.AlertCreated",
"source": "/tenants/<tenant-id>/applications/<application-id>",
"subject": "Alert/<alert-id>",
"time": "2022-05-24T22:24:31.3062901Z",
"datacontenttype": "application/json",
"specversion": "1.0",
"data": {
"subscriptionId": "<guid>",
"resource": "<alert-id>",
"changeType": "updated",
"clientState": "<guid>",
"notificationUrl": "<target-Url>",
"expirationDateTime": "2023-10-01T06:21:57-07:00",
"resourceData": {
"id": "<alert-id>",
"@odata.id": "security/<id>",
"@odata.type": "#IsgWebApi.SecurityGraphModel.<id>",
},
"subscriptionExpirationDateTime": "2022-05-24T23:21:19.3554403+00:00",
"subscriptionId": "<microsoft-graph-subscription-id>",
"tenantId": "<tenant-id>
}
}
Ereigniseigenschaften
Ein Ereignis weist die folgenden Daten auf oberster Ebene aus:
| Eigenschaft | Type | Beschreibung |
|---|---|---|
source |
Zeichenfolge | Die Mandantenereignisquelle. Dieses Feld ist nicht beschreibbar. Die Microsoft Graph-API stellt diesen Wert bereit. |
subject |
Zeichenfolge | Vom Herausgeber definierter Pfad zum Ereignisbetreff |
type |
Zeichenfolge | Einer der Ereignistypen für diese Ereignisquelle. |
time |
Zeichenfolge | Die Zeit, in der das Ereignis generiert wird, basierend auf der UTC-Zeitangabe des Anbieters. |
id |
Zeichenfolge | Eindeutiger Bezeichner für das Ereignis. |
data |
Objekt (object) | Ereignisnutzdaten, die die Daten zur Änderung des Ressourcenzustands bereitstellen. |
specversion |
Zeichenfolge | Version der CloudEvents-Schemaspezifikation. |
Das Datenobjekt weist die folgenden Eigenschaften auf:
| Eigenschaft | Type | Beschreibung |
|---|---|---|
changeType |
Zeichenfolge | Der Typ der Ressourcenstatusänderung. |
resource |
Zeichenfolge | Der Ressourcenbezeichner, für den das Ereignis ausgelöst wurde. |
tenantId |
Zeichenfolge | Die Organisations-ID, in der die Warnung ausgelöst wurde. |
clientState |
Zeichenfolge | Ein Geheimnis, das vom Benutzer zum Zeitpunkt der Graph-API-Abonnementerstellung bereitgestellt wird. |
@odata.type |
Zeichenfolge | Der Graph-API-Änderungstyp. |
@odata.id |
Zeichenfolge | Der Graph-API-Ressourcenbezeichner, für den das Ereignis ausgelöst wurde. |
id |
Zeichenfolge | Der Ressourcenbezeichner, für den das Ereignis ausgelöst wurde. |
subscriptionExpirationDateTime |
Zeichenfolge | Der Zeitpunkt im RFC 3339-Format, zu dem das Graph-API-Abonnement abläuft. |
subscriptionId |
Zeichenfolge | Der Graph-API-Abonnementbezeichner. |
tenantId |
Zeichenfolge | Die Microsoft Entra Mandanten-ID. |
Nächste Schritte
- Eine Einführung in die Partnerereignisse von Azure Event Grid finden Sie in der Übersicht über Partnerereignisse.
- Informationen zum Abonnieren der Microsoft Graph-API zum Empfangen von Ereignissen finden Sie unter Abonnieren von Microsoft Graph-API-Ereignissen.
- Informationen zu Azure Event Grid-Ereignishandlern finden Sie unter Ereignishandler.
- Weitere Informationen zum Erstellen eines Azure Event Grid-Abonnements finden Sie unter Erstellen eines Ereignisabonnements und Event Grid-Abonnementschema.
- Weitere Informationen zum Konfigurieren eines Ereignisabonnements zum Auswählen bestimmter Ereignisse, die übermittelt werden sollen, finden Sie unter Ereignisfilterung. Möglicherweise möchten Sie auch auf Filterereignisse verweisen.