alertEvidence-Ressourcentyp
Namespace: microsoft.graph.security
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Stellt Beweise im Zusammenhang mit einer Warnung dar.
Der alertEvidence-Basistyp und seine abgeleiteten Beweistypen bieten eine Möglichkeit, umfangreiche Daten zu jedem Artefakt zu organisieren und nachzuverfolgen, das an einer Warnung beteiligt ist. Beispielsweise kann eine Warnung über die IP-Adresse eines Angreifers, die sich mit einem kompromittierten Benutzerkonto bei einem Clouddienst anmeldet, die folgenden Beweise nachverfolgen:
-
IP-Nachweis mit den Rollen und
attackersource, Wartungsstatus vonrunningund und Bewertung vonmalicious. -
Cloudanwendungsbeweis mit der
contextualRolle . -
Postfachbeweis für das gehackte Benutzerkonto mit der
compromisedRolle .
Diese Ressource ist der Basistyp für die folgenden Beweistypen:
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailClusterEvidence
- mailboxEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- urlEvidence
- userEvidence
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| createdDateTime | DateTimeOffset | Das Datum und die Uhrzeit, zu dem der Beweis erstellt und der Warnung hinzugefügt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. |
| detailedRoles | String collection | Ausführliche Beschreibung der Entitätsrollen in einer Warnung. Werte sind Freiform. |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | Status der durchgeführten Korrekturmaßnahme. Mögliche Werte sind: none, remediated, prevented, blocked, notFound, unknownFutureValue. |
| remediationStatusDetails | Zeichenfolge | Details zum Wartungsstatus. |
| roles | microsoft.graph.security.evidenceRole-Sammlung | Die Rollen, die eine Beweisentität in einer Warnung darstellt, z. B. eine IP-Adresse, die einem Angreifer zugeordnet ist, hat die Beweisrolle Angreifer. |
| tags | Zeichenfolgenauflistung | Array von benutzerdefinierten Tags, die einer Beweisinstanz zugeordnet sind, z. B. zum Bezeichnen einer Gruppe von Geräten, hochwertigen Ressourcen usw. |
| Urteil | microsoft.graph.security.evidenceVerdict | Die Entscheidung, die durch automatisierte Untersuchung getroffen wurde. Mögliche Werte sind: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue. |
detectionSource-Werte
| Wert | Beschreibung |
|---|---|
| Erkannt | Ein Produkt der ausgeführten Bedrohung wurde erkannt. |
| Blockiert | Die Bedrohung wurde zur Laufzeit behoben. |
| Verhindert | Die Bedrohung wurde verhindert (Ausführen, Herunterladen usw.). |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
evidenceRemediationStatus-Werte
| Member | Beschreibung |
|---|---|
| keine | Es wurden keine Bedrohungen gefunden. |
| Wiederhergestellt | Die Wartungsaktion wurde erfolgreich abgeschlossen. |
| Verhindert | Die Bedrohung wurde an der Ausführung gehindert. |
| Blockiert | Die Bedrohung wurde während der Ausführung blockiert. |
| Notfound | Der Beweis wurde nicht gefunden. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
evidenceRole-Werte
| Member | Beschreibung |
|---|---|
| unknown | Die Beweisrolle ist unbekannt. |
| Kontextbezogene | Eine Entität, die wahrscheinlich gutartig aufgetreten ist, aber als Nebeneffekt der Aktion eines Angreifers gemeldet wurde, z. B. wurde der gutartige services.exe Prozess verwendet, um einen schädlichen Dienst zu starten. |
| Gescannt | Eine Entität, die als Ziel von Ermittlungs- oder Reconnaissance-Aktionen identifiziert wurde, z. B. ein Portscanner, um ein Netzwerk zu scannen. |
| source | Die Entität, von der die Aktivität stammt, z. B. Gerät, Benutzer, IP-Adresse usw. |
| Ziel | Die Entität, an die die Aktivität gesendet wurde, z. B. Gerät, Benutzer, IP-Adresse usw. |
| erstellt | Die Entität wurde als Ergebnis der Aktionen eines Angreifers erstellt, z. B. wurde ein Benutzerkonto erstellt. |
| Hinzugefügt | Die Entität wurde als Ergebnis der Aktionen eines Angreifers hinzugefügt. Beispielsweise wurde einer Berechtigungsgruppe ein Benutzerkonto hinzugefügt. |
| Gefährdet | Die Entität wurde kompromittiert und befindet sich unter der Kontrolle eines Angreifers. Beispielsweise wurde ein Benutzerkonto kompromittiert und für die Anmeldung bei einem Clouddienst verwendet. |
| edited | Die Entität wurde von einem Angreifer bearbeitet oder geändert. Beispielsweise wurde der Registrierungsschlüssel für einen Dienst so bearbeitet, dass er auf den Speicherort einer neuen schädlichen Nutzlast verweist. |
| Angegriffen | Die Entität wurde angegriffen. Beispielsweise wurde ein Gerät als Ziel für einen DDoS-Angriff verwendet. |
| Angreifer | Die Entität stellt den Angreifer dar. Beispielsweise hat die IP-Adresse des Angreifers die Anmeldung bei einem Clouddienst mit einem kompromittierten Benutzerkonto beobachtet. |
| commandAndControl | Die Entität wird für Befehle und Steuerungen verwendet. Beispielsweise eine C2-Domäne (Befehls- und Steuerungsdomäne), die von Schadsoftware verwendet wird. |
| Geladen | Die Entität wurde von einem Prozess unter der Kontrolle eines Angreifers geladen. Beispielsweise wurde eine DLL in einen prozessgesteuerten Prozess geladen. |
| Verdächtige | Die Entität wird verdächtigt, böswillig zu sein oder von einem Angreifer kontrolliert zu werden, wurde aber nicht inkriminiert. |
| policyViolator | Die Entität ist ein Verstoß gegen eine kundendefinierte Richtlinie. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
evidenceRemediationStatus-Werte
| Member | Beschreibung |
|---|---|
| unknown | Für die Beweise wurde kein Urteil festgestellt. |
| Verdächtige | Empfohlene Wartungsaktionen, die auf die Genehmigung warten. |
| Bösartige | Die Beweise wurden als böswillig eingestuft. |
| Sauber | Es wurde keine Bedrohung erkannt - die Beweise sind gutartig. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
evidenceVerdict-Werte
| Member | Beschreibung |
|---|---|
| unknown | Für die Beweise wurde kein Urteil festgestellt. |
| Verdächtige | Empfohlene Wartungsaktionen, die auf die Genehmigung warten. |
| Bösartige | Die Beweise wurden als böswillig eingestuft. |
| noThreatsFound | Es wurde keine Bedrohung erkannt - die Beweise sind gutartig. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung zeigt den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}