Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Namespace: microsoft.graph.security
Diese Ressource entspricht dem neuesten Batch von Warnungen, die von der Microsoft Graph-Sicherheits-API generiert wurden. Diese Ressource stellt potenzielle Sicherheitsprobleme innerhalb des Mandanten eines Kunden dar, die Von Microsoft 365 Defender oder einem in Microsoft 365 Defender integrierten Sicherheitsanbieter identifiziert wurden.
Wenn ein Sicherheitsanbieter eine Bedrohung erkennt, wird eine Warnung im System erstellt. Microsoft 365 Defender ruft diese Warnungsdaten vom Sicherheitsanbieter ab und nutzt die Warnungsdaten, um in einer Warnungsressource wertvolle Hinweise zu verwandten Angriffen, betroffenen Ressourcen und zugehörigen Beweisen zurückzugeben. Es korreliert automatisch andere Warnungen mit den gleichen Angriffstechniken oder demselben Angreifer mit einem Incident , um einen breiteren Kontext eines Angriffs bereitzustellen. Das Zusammenfassen von Benachrichtigungen erleichtert es Analytikern, Bedrohungen kollektiv zu untersuchen und darauf zu reagieren.
Hinweis
Diese Ressource ist einer der beiden Arten von Warnungen, die die Version v1.0 der Microsoft Graph-Sicherheits-API bietet. Weitere Informationen finden Sie unter Warnungen.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| List | microsoft.graph.security.alert-Sammlung | Rufen Sie eine Liste der Warnungsressourcen ab, die erstellt wurden, um verdächtige Aktivitäten in einem organization nachzuverfolgen. |
| Get | microsoft.graph.security.alert | Ruft die Eigenschaften eines Warnungsobjekts in einem organization basierend auf der angegebenen Warnungs-ID-Eigenschaft ab. |
| Update | microsoft.graph.security.alert | Aktualisieren Sie die Eigenschaften eines Warnungsobjekts in einem organization basierend auf der angegebenen Warnungs-ID-Eigenschaft. |
| Kommentar erstellen | AlertComment | Erstellen Sie einen Kommentar für eine vorhandene Warnung basierend auf der angegebenen Warnungs-ID-Eigenschaft . |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| actorDisplayName | Zeichenfolge | Der Angreifer oder die Aktivitätsgruppe, die dieser Warnung zugeordnet ist. |
| additionalData | microsoft.graph.security.dictionary | Eine Sammlung anderer Warnungseigenschaften, einschließlich benutzerdefinierter Eigenschaften. Alle in der Warnung definierten benutzerdefinierten Details und alle dynamischen Inhalte in den Warnungsdetails werden hier gespeichert. |
| alertPolicyId | Zeichenfolge | Die ID der Richtlinie, die die Warnung generiert hat, und wird aufgefüllt, wenn eine bestimmte Richtlinie vorhanden ist, die die Warnung generiert hat, unabhängig davon, ob sie von einem Kunden oder einer integrierten Richtlinie konfiguriert wurde. |
| alertWebUrl | Zeichenfolge | URL für die Warnungsseite des Microsoft 365 Defender-Portals. |
| assignedTo | Zeichenfolge | Besitzer der Warnung oder NULL, wenn kein Besitzer zugewiesen ist. |
| category | String | Die Angriffs-Kill-Chain-Kategorie, zu der die Warnung gehört. Ausgerichtet auf das MITRE ATT&CK-Framework. |
| classification | microsoft.graph.security.alertClassification | Gibt an, ob die Warnung eine echte Bedrohung darstellt. Mögliche Werte sind: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| Kommentare | microsoft.graph.security.alertComment-Sammlung | Array von Kommentaren, die vom Security Operations (SecOps)-Team während des Warnungsverwaltungsprozesses erstellt wurden. |
| createdDateTime | DateTimeOffset | Zeitpunkt, zu dem Microsoft 365 Defender die Warnung erstellt hat. |
| customDetails | microsoft.graph.security.dictionary | Benutzerdefinierte benutzerdefinierte Felder mit Zeichenfolgenwerten. |
| description | Zeichenfolge | Zeichenfolgenwert, der jede Warnung beschreibt. |
| detectionSource | microsoft.graph.security.detectionSource | Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat. |
| detectorId | Zeichenfolge | Die ID des Detektors, der die Warnung ausgelöst hat. |
| Bestimmung | microsoft.graph.security.alertDetermination | Gibt das Ergebnis der Untersuchung an, ob die Warnung einen echten Angriff darstellt, und wenn ja, die Art des Angriffs. Die möglichen Werte sind: unknown, apt, malware, securityPersonnel, securityTesting, , unwantedSoftware, multiStagedAttackother, compromisedAccount, phishing, maliciousUserActivitynotMaliciousconfirmedUserActivitynotEnoughDataToValidate, lineOfBusinessApplication, , . unknownFutureValue |
| Beweise | microsoft.graph.security.alertEvidence-Sammlung | Sammlung von Beweisen im Zusammenhang mit der Warnung. |
| firstActivityDateTime | DateTimeOffset | Die früheste Aktivität, die der Warnung zugeordnet ist. |
| id | Zeichenfolge | Eindeutiger Bezeichner zur Darstellung der Warnungsressource . |
| incidentId | Zeichenfolge | Eindeutiger Bezeichner, der den Incident darstellt, dem diese Warnungsressource zugeordnet ist. |
| incidentWebUrl | Zeichenfolge | URL für die Incidentseite im Microsoft 365 Defender-Portal. |
| investigationState | microsoft.graph.security.investigationState | Informationen zum aktuellen status der Untersuchung. Die möglichen Werte sind: unknown, terminated, successfullyRemediated, benign, , failed, partiallyRemediated, pendingApprovalrunning, pendingResourcepreexistingAlertinnerFailureunsupportedAlertTypeunsupportedOsqueued, suppressedAlert, partiallyInvestigated, terminatedByUser, terminatedBySystem, , . unknownFutureValue |
| lastActivityDateTime | DateTimeOffset | Die älteste Aktivität, die der Warnung zugeordnet ist. |
| lastUpdateDateTime | DateTimeOffset | Zeitpunkt, zu dem die Warnung zuletzt bei Microsoft 365 Defender aktualisiert wurde. |
| mitreTechniques | Collection(Edm.String) | Die Angriffstechniken, die auf das MITRE ATT&CK-Framework abgestimmt sind. |
| productName | Zeichenfolge | Der Name des Produkts, das diese Warnung veröffentlicht hat. |
| providerAlertId | Zeichenfolge | Die ID der Warnung, wie sie im Sicherheitsanbieterprodukt angezeigt wird, das die Warnung generiert hat. |
| recommendedActions | Zeichenfolge | Empfohlene Reaktions- und Wartungsaktionen für den Fall, dass diese Warnung generiert wurde. |
| resolvedDateTime | DateTimeOffset | Zeitpunkt, zu dem die Warnung aufgelöst wurde. |
| serviceSource | microsoft.graph.security.serviceSource | Der Dienst oder das Produkt, das bzw. das diese Warnung erstellt hat. Weitere Informationen finden Sie unter serviceSource-Werte. |
| Schweregrad | microsoft.graph.security.alertSeverity | Gibt die möglichen Auswirkungen auf Ressourcen an. Je höher der Schweregrad, desto größer die Auswirkung. Elemente mit höherem Schweregrad erfordern in der Regel die unmittelbarste Aufmerksamkeit. Mögliche Werte sind: unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.alertStatus | Die status der Warnung. Weitere Informationen finden Sie unter alertStatus-Werte. |
| tenantId | Zeichenfolge | Der Microsoft Entra Mandant, in dem die Warnung erstellt wurde. |
| threatDisplayName | Zeichenfolge | Die dieser Warnung zugeordnete Bedrohung. |
| threatFamilyName | Zeichenfolge | Dieser Warnung zugeordnete Bedrohungsfamilie. |
| title | String | Kurze Identifizierung des Zeichenfolgenwerts, der die Warnung beschreibt. |
| systemTags | String collection | Die der Warnung zugeordneten Systemtags. |
alertClassification-Werte
| Member | Beschreibung |
|---|---|
| unknown | Die Warnung ist noch nicht klassifiziert. |
| falsePositive | Die Warnung ist falsch positiv und hat keine schädliche Aktivität erkannt. |
| truePositive | Die Warnung ist richtig positiv und hat eine schädliche Aktivität erkannt. |
| informationalExpectedActivity | Die Warnung ist gutartig positiv und hat potenziell schädliche Aktivitäten von einem vertrauenswürdigen/internen Benutzer erkannt, z. B. Sicherheitstests. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
alertDetermination-Werte
| Member | Beschreibung |
|---|---|
| unknown | Es wurde noch kein Ermittlungswert festgelegt. |
| Apt | Eine wahr positive Warnung, die eine erweiterte persistente Bedrohung erkannt hat. |
| Schadsoftware | Eine wahr positive Warnung, die Schadsoftware erkannt hat. |
| securityPersonnel | Eine wahr positive Warnung, die gültige verdächtige Aktivitäten erkannt hat, die eine Person im Sicherheitsteam des Kunden ausgeführt hat. |
| SicherheitTesting | Die Warnung hat gültige verdächtige Aktivitäten erkannt, die im Rahmen eines bekannten Sicherheitstests ausgeführt wurden. |
| unwantedSoftware | Die Warnung hat unerwünschte Software erkannt. |
| Andere | Sonstige Bestimmung. |
| multiStagedAttack | Eine wahr positive Warnung, die mehrere Kill-Chain-Angriffsphasen erkannt hat. |
| compromisedAccount | Eine wahr positive Warnung, die festgestellt hat, dass die Anmeldeinformationen des beabsichtigten Benutzers kompromittiert oder gestohlen wurden. |
| Phishing | Eine wahr positive Warnung, die eine Phishing-E-Mail erkannt hat. |
| maliciousUserActivity | Eine wahr positive Warnung, die erkannt hat, dass der angemeldete Benutzer schädliche Aktivitäten ausführt. |
| notMalicious | Eine falsche Warnung, keine verdächtige Aktivität. |
| notEnoughDataToValidate | Eine falsche Warnung, ohne dass genügend Informationen vorhanden sind, um das Gegenteil zu beweisen. |
| confirmedActivity | Die Warnung hat eine wahr verdächtige Aktivität abgefangen, die als OK angesehen wird, da es sich um eine bekannte Benutzeraktivität handelt. |
| lineOfBusinessApplication | Die Warnung hat eine wahr verdächtige Aktivität abgefangen, die als ok angesehen wird, da es sich um eine bekannte und bestätigte interne Anwendung handelt. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
investigationState-Werte
| Member | Beschreibung |
|---|---|
| unknown | Unbekannter Untersuchungsstatus. |
| Beendet | Die Untersuchung wurde vor Abschluss beendet. |
| successfullyRemediated | Die Untersuchung wurde erfolgreich abgeschlossen, wobei alle Wiederherstellungsaktionen ausgeführt wurden. |
| harmlos | Die Untersuchung wurde ohne Korrekturversuche abgeschlossen. |
| Fehlgeschlagen | Ein Problem hat die Untersuchung unterbrochen und kann jetzt nicht abgeschlossen werden. |
| partiallyRemediated | Die Untersuchung wurde mit einigen erfolgreich durchgeführten Wartungsplänen abgeschlossen. |
| Ausgeführte | Die Untersuchung läuft derzeit. |
| pendingApproval | Untersuchung angehalten; einige Aktionen erfordern eine Benutzerüberprüfung und -genehmigung. |
| pendingResource | Die Untersuchung wird angehalten, bis die erforderlichen Ressourcen verfügbar sind. |
| Warteschlange | Die Untersuchung wird in die Warteschlange eingereiht und wartet auf den Start. |
| innerFailure | Bei der Untersuchung ist ein interner Systemfehler aufgetreten. |
| preexistingAlert | Die Untersuchung wurde nicht gestartet, da bereits eine ähnliche Warnung vorhanden ist. |
| unsupportedOs | Die Untersuchung kann nicht fortgesetzt werden, da das Betriebssystem nicht unterstützt wird. |
| unsupportedAlertType | Die Untersuchung kann nicht fortgesetzt werden, da der Warnungstyp nicht unterstützt wird. |
| suppressedAlert | Die Untersuchung wurde basierend auf konfigurierten Regeln oder Richtlinien unterdrückt. |
| Teilweise investiert | Die Untersuchung wurde teilweise abgeschlossen. |
| terminatedByUser | Die Untersuchung wurde vom Benutzer beendet, bevor sie abgeschlossen wurde. |
| terminatedBySystem | Die Untersuchung wurde vom System gestoppt, bevor sie abgeschlossen war. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
alertSeverity-Werte
| Member | Beschreibung |
|---|---|
| unknown | Unbekannter Schweregrad. |
| Informations | Warnungen, die möglicherweise nicht umsetzbar sind oder als schädlich für das Netzwerk gelten, aber das Sicherheitsbewusstsein der Organisation bei potenziellen Sicherheitsproblemen fördern können. |
| Niedrig | Warnungen zu Bedrohungen im Zusammenhang mit weit verbreiteter Schadsoftware. Beispielsweise Hack-Tools, Nicht-Antischadsoftware-Hacktools wie das Ausführen von Explorationsbefehlen und das Löschen von Protokollen, die oft nicht auf eine erweiterte Bedrohung hinweisen, die auf die organization abzielt. Es kann auch von einem isolierten Sicherheitstool stammen, das ein Benutzer in Ihrer organization testet. |
| medium | Warnungen, die aus Erkennungen und Reaktionen nach einem Sicherheitsverletzungsverhalten generiert werden, die Teil einer Advanced Persistent Threat (APT) sein können. Dieser Schweregrad umfasst beobachtete Verhaltensweisen, die typisch für Angriffsphasen, anomale Registrierungsänderungen, die Ausführung verdächtiger Dateien usw. sind. Obwohl einige auf interne Sicherheitstests zurückzuführen sein können, sind sie gültige Erkennungen und erfordern eine Untersuchung, da sie Möglicherweise Teil eines erweiterten Angriffs sind. |
| Hoch | Warnungen, die häufig im Zusammenhang mit advanced persistent threats (APT) angezeigt werden. Diese Warnungen weisen auf ein hohes Risiko aufgrund der Schwere der Schäden hin, die sie an Vermögenswerten anrichten können. Einige Beispiele sind: Aktivitäten zum Diebstahl von Anmeldeinformationen, Ransomware-Aktivitäten, die keiner Gruppe zugeordnet sind, Manipulation von Sicherheitssensoren oder böswillige Aktivitäten, die auf einen menschlichen Angreifer hindeuten. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung veranschaulicht den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.security.alert",
"actorDisplayName": "String",
"additionalData": {"@odata.type": "microsoft.graph.security.dictionary"},
"alertWebUrl": "String",
"assignedTo": "String",
"category": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customDetails": {"@odata.type": "microsoft.graph.security.dictionary"},
"description": "String",
"detectionSource": "String",
"detectorId": "String",
"determination": "String",
"evidence": [{"@odata.type": "microsoft.graph.security.alertEvidence"}],
"firstActivityDateTime": "String (timestamp)",
"id": "String (identifier)",
"incidentId": "String",
"incidentWebUrl": "String",
"investigationState": "String",
"lastActivityDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"mitreTechniques": ["String"],
"productName": "String",
"providerAlertId": "String",
"recommendedActions": "String",
"resolvedDateTime": "String (timestamp)",
"serviceSource": "String",
"severity": "String",
"status": "String",
"systemTags" : ["String"],
"tenantId": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"title": "String"
}