Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Namespace: microsoft.graph
Hinweis
Die Legacywarnungs-API ist veraltet und wird im April 2026 entfernt. Es wird empfohlen, zur neuen Warnungs- und Incident-API zu migrieren.
Diese Ressource entspricht der ersten Generation von Warnungen in der Microsoft Graph-Sicherheits-API, die potenzielle Sicherheitsprobleme innerhalb des Mandanten eines Kunden darstellt, die Von Microsoft oder einer Partnersicherheitslösung identifiziert wurden.
Bei dieser Art von Warnungen werden aufruft unterstützte Azure und Microsoft 365 Defender-Sicherheitsanbieter, die unter Verwenden der Microsoft Graph-Sicherheits-API aufgeführt sind, im Verbund ausgeführt. Es aggregiert allgemeine Warnungsdaten zwischen den verschiedenen Domänen, damit Anwendungen die Verwaltung von Sicherheitsproblemen in allen integrierten Lösungen vereinheitlichen und optimieren können.
Weitere Informationen finden Sie in den Beispielabfragen im Graph-Explorer.
Hinweis
Diese Ressource ist einer der beiden Arten von Warnungen, die die Version v1.0 der Microsoft Graph-Sicherheits-API bietet. Weitere Informationen finden Sie unter Warnungen.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Warnung erhalten | Warnung | Dient zum Lesen der Eigenschaften und der Beziehungen des Warnung-Objekts. |
| Warnung aktualisieren | Warnung | Aktualisieren eines Warnung-Objekts. |
| Warnungen auflisten | Warnung Sammlung | Ruft eine Warnungobjektsammlung ab. |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| activityGroupName | String | Name oder Alias der Aktivitätsgruppe (Angreifer), dem diese Warnung zugeordnet ist. |
| assignedTo | String | Name des Analysten, dem die Warnung für Triage, Untersuchung oder Wartung zugeordnet ist (unterstützt Update). |
| azureSubscriptionId | String | Azure-Abonnement-ID, vorhanden, wenn sich diese Warnung auf eine Azure-Ressource bezieht. |
| azureTenantId | String | Microsoft Entra Mandanten-ID. Erforderlich. |
| category | String | Kategorie der Warnung (z. B. credentialTheft, Ransomware). |
| closedDateTime | DateTimeOffset | Uhrzeit, an der die Warnung abgeschlossen wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel ist Mitternacht UTC am 1. Januar 2014 2014-01-01T00:00:00Z(unterstützt Update). |
| cloudAppStates | cloudAppSecurityState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Cloud-Anwendung(en) im Zusammenhang mit dieser Warnung generiert wurden. |
| Kommentare | Zeichenfolgensammlung | Vom Kunden zur Verfügung gestellte Kommentare zur Warnung (für Kunden Warnungsverwaltung) (unterstützt Update). |
| confidence | Int32 | Zuverlässigkeit der Erkennungslogik (Prozentsatz zwischen 1-100). |
| createdDateTime | DateTimeOffset | Uhrzeit, zu der die Warnung vom Warnungsanbieter erstellt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. Erforderlich. |
| description | String | Warnungsbeschreibung. |
| detectionIds | Zeichenfolgensammlung | Satz von Warnungen, die sich auf diese Warnungseinheit beziehen (jede Warnung wird als separater Datensatz an der SIEM gesendet). |
| eventDateTime | DateTimeOffset | Zeitpunkt, zu dem das Ereignis oder die Ereignisse aufgetreten sind, die als Trigger zum Generieren der Warnung dienten. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. Erforderlich. |
| Feedback | alertFeedback | Analysten-Feedback zur Warnung. Mögliche Werte sind: unknown, truePositive, falsePositive, benignPositive. Aktualisierbare. |
| fileStates | FileSecurityState Sammlung | Sicherheitsbezogene zustandsbehaftete Informationen, die vom Anbieter zu den Dateien im Zusammenhang mit dieser Warnung generiert werden. |
| hostStates | HostSecurityState Sammlung | Sicherheitsbezogene zustandsbehaftete Informationen, die vom Anbieter zu den Hosts im Zusammenhang mit dieser Warnung generiert werden. |
| id | String | Vom Provider generierter GUID/eindeutiger Bezeichner. Schreibgeschützt. Erforderlich. |
| incidentIds | Zeichenfolgenauflistung | IDs von Vorfällen, die mit der aktuellen Warnung in Zusammenhang stehen. |
| lastModifiedDateTime | DateTimeOffset | Uhrzeit, zu der die Warnung zuletzt geändert wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. |
| malwareStates | MalwareStateSammlung | Informationen zu Bedrohungen, in Bezug auf Malware im Zusammenhang mit dieser Warnung. |
| networkConnections | NetworkConnection Sammlung | Sicherheitsbezogene zustandsbehaftete Informationen, die vom Anbieter zu den Netzwerkverbindungen im Zusammenhang mit dieser Warnung generiert werden. |
| Prozesse | Prozess Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über den Prozess oder die Prozesse im Zusammenhang mit dieser Warnung generiert wurden. |
| recommendedActions | Zeichenfolgensammlung | Empfohlene Aktionen des Anbieters/Anbieters als Ergebnis der Warnung (z. B. Computer isolieren, erzwingen 2FA, Host neu abbilden). |
| registryKeyStates | RegistryKeyState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Registrierungsschlüssel im Zusammenhang mit dieser Warnung generiert wurden. |
| securityResources | securityResource-Sammlung | Ressourcen, die mit der aktuellen Warnung in Zusammenhang stehen. Bei einigen Benachrichtigungen kann dies beispielsweise den Wert Azure-Ressource aufweisen. |
| Schweregrad | alertSeverity | Warnungsschweregrad – vom Lieferanten/Anbieter festgelegt. Mögliche Werte sind: unknown, informational, low, medium, high. Erforderlich. |
| sourceMaterials | Zeichenfolgensammlung | Links (URIs) zu dem Quellmaterial, das sich auf die Warnung bezieht, z. B. die Benutzeroberfläche des Anbieters für Warnungen oder die Protokollsuche. |
| Status | alertStatus | Lebenszyklusstatus der Warnung (Phase). Mögliche Werte sind: unknown, newAlert, inProgress, resolved. (unterstütztUpdate). Erforderlich. |
| tags | Zeichenfolgenauflistung | Benutzerdefinierbare Bezeichnungen, die auf eine Warnung angewendet werden können und als Filterbedingungen dienen können (z. B. "HVA", "SAW") (unterstützt Update). |
| title | String | Warnungstitel. Erforderlich. |
| Auslöser | AlertTrigger Sammlung | Sicherheitsbezogene Informationen über die spezifischen Eigenschaften, die die Warnung ausgelöst haben (Eigenschaften, die in der Warnung angezeigt werden). Warnmeldungen können Informationen über mehrere Benutzer, Hosts, Dateien und IP-Adressen enthalten. Dieses Feld gibt an, welche Eigenschaften die Warnmeldung ausgelöst haben. |
| userStates | UserSecurityState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Benutzerkonten im Zusammenhang mit dieser Warnung generiert wurden. |
| vendorInformation | SecurityVendorInformation | Komplexer Typ, der Details über den Lieferanten des Sicherheitsproduktes/Dienstleistung, den Anbieter und den Subprovider enthält (z.B. Lieferant=Microsoft, Anbieter=Windows Defender ATP, Subprovider=AppLocker). Erforderlich. |
| vulnerabilityStates | VulnerabilityState Sammlung | Informationen zu Bedrohungen, die sich auf eine oder mehrere Schwachstellen im Zusammenhang mit dieser Warnung beziehen. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung veranschaulicht den Ressourcentyp.
{
"activityGroupName": "String",
"assignedTo": "String",
"azureSubscriptionId": "String",
"azureTenantId": "String",
"category": "String",
"closedDateTime": "String (timestamp)",
"cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
"comments": ["String"],
"confidence": 1024,
"createdDateTime": "String (timestamp)",
"description": "String",
"detectionIds": ["String"],
"eventDateTime": "String (timestamp)",
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
"hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
"id": "String (identifier)",
"incidentIds": ["String"],
"lastModifiedDateTime": "String (timestamp)",
"malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
"networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
"processes": [{"@odata.type": "microsoft.graph.process"}],
"recommendedActions": ["String"],
"registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
"securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"sourceMaterials": ["String"],
"status": "@odata.type: microsoft.graph.alertStatus",
"tags": ["String"],
"title": "String",
"triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
"userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
"vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
"vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}