Incidentressourcentyp
Namespace: microsoft.graph.security
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Ein Incident in Microsoft 365 Defender ist eine Sammlung korrelierter Warnungsinstanzen und zugehöriger Metadaten, die die Geschichte eines Angriffs in einem Mandanten widerspiegeln.
Microsoft 365-Dienste und -Anwendungen erstellen Warnungen, wenn sie ein verdächtiges oder bösartiges Ereignis oder eine Aktivität erkennen. Einzelne Warnungen bieten wertvolle Hinweise zu einem abgeschlossenen oder laufenden Angriff. Angriffe wenden jedoch in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten an, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind mehrere Warnungen für mehrere Entitäten in Ihrem Mandanten. Da es schwierig und zeitaufwändig sein kann, die einzelnen Warnungen zusammenzufassen, um Erkenntnisse zu einem Angriff zu erhalten, fasst Microsoft 365 Defender die Warnungen und die damit verbundenen Informationen automatisch zu einem Vorfall zusammen.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Auflisten von Vorfällen | microsoft.graph.security.incident collection | Rufen Sie eine Liste der Incidentobjekte ab, die Microsoft 365 Defender erstellt hat, um Angriffe in einem organization nachzuverfolgen. |
| Incident abrufen | microsoft.graph.security.incident | Lesen der Eigenschaften und Beziehungen eines Incidentobjekts . |
| Aktualisieren von Vorfällen | microsoft.graph.security.incident | Aktualisiert die Eigenschaften eines Incidentobjekts . |
| Erstellen eines Kommentars für incident | AlertComment | Erstellen Sie einen Kommentar für einen vorhandenen Incident basierend auf der angegebenen Incident-ID-Eigenschaft . |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| id | String | Eindeutiger Bezeichner zur Darstellung des Incidents. |
| displayName | String | Der Incidentname. |
| assignedTo | String | Besitzer des Incidents oder NULL, wenn kein Besitzer zugewiesen ist. Freier bearbeitbarer Text. |
| classification | microsoft.graph.security.alertClassification | Die Spezifikation für den Incident. Mögliche Werte: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| Kommentare | microsoft.graph.security.alertComment-Sammlung | Array von Kommentaren, die vom Security Operations -Team (SecOps) erstellt werden, wenn der Incident verwaltet wird. |
| createdDateTime | DateTimeOffset | Zeitpunkt, zu dem der Vorfall zum ersten Mal erstellt wurde. |
| description | String | Beschreibung des Vorfalls. |
| Bestimmung | microsoft.graph.security.alertDetermination | Gibt die Ermittlung des Incidents an. Mögliche Werte sind: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue. |
| tenantId | Zeichenfolge | Der Microsoft Entra Mandant, in dem die Warnung erstellt wurde. |
| incidentWebUrl | String | Die URL für die Incidentseite im Microsoft 365 Defender-Portal. |
| lastModifiedBy | String | Die Identität, die den Incident zuletzt geändert hat. |
| lastUpdateDateTime | DateTimeOffset | Zeitpunkt, zu dem der Vorfall zuletzt aktualisiert wurde. |
| redirectIncidentId | String | Wird nur für den Fall aufgefüllt, dass ein Incident im Rahmen der Logik, die Incidents verarbeitet, mit einem anderen Incident gruppiert wird. In einem solchen Fall ist redirecteddie eigenschaft status . |
| Schweregrad | alertSeverity | Gibt die möglichen Auswirkungen auf Ressourcen an. Je höher der Schweregrad, desto größer ist die Auswirkung. Elemente mit höherem Schweregrad erfordern in der Regel die unmittelbarste Aufmerksamkeit. Mögliche Werte sind: unknown, informational, low, medium, high und unknownFutureValue. |
| status | microsoft.graph.security.incidentStatus | Die status des Vorfalls. Mögliche Werte sind: active, resolved, inProgress, redirected, unknownFutureValueund awaitingAction. |
| customTags | Zeichenfolgensammlung | Die Auflistung von benutzerdefinierten Tags, die einem Incident zugeordnet sind. |
| systemTags | String collection | Die Sammlung von Systemtags, die dem Incident zugeordnet sind. |
| description | String | Eine Rich-Text-Zeichenfolge, die den Vorfall beschreibt |
| recommendedActions | String | Eine Rich-Text-Zeichenfolge, die die Aktionen darstellt, die ausgeführt werden sollen, um den Vorfall zu beheben. |
| recommendedHuntingQueries | Collection(microsoft.graph.security.recommendedHuntingQuery) | Liste der KQL-Abfragen (Hunting Kusto-Abfragesprache) im Zusammenhang mit dem Incident |
| ResolvingComment | String | Benutzereingabe, die die Lösung des Incidents und die Klassifizierungsauswahl erläutert. Diese Eigenschaft enthält frei bearbeitbaren Text. |
incidentStatus-Werte
In der folgenden Tabelle sind die Elemente einer drehbaren Enumeration aufgeführt. Sie müssen den Anforderungsheader Prefer: include-unknown-enum-members verwenden, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: awaitingAction.
| Member | Beschreibung |
|---|---|
| aktiv | Der Incident befindet sich im aktiven Zustand. |
| resolved | Der Vorfall befindet sich im aufgelösten Zustand. |
| inProgress | Der Vorfall wird gerade entschärft. |
| Weitergeleitet | Der Vorfall wurde mit einem anderen Vorfall zusammengeführt. Die Zielvorfall-ID wird in der redirectIncidentId-Eigenschaft angezeigt. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
| awaitingAction | Dieser Vorfall erfordert Aktionen von Defender-Experten, die auf Ihre Aktion warten. Nur Microsoft 365 Defender-Experten können diese status festlegen. |
Beziehungen
| Beziehung | Typ | Beschreibung |
|---|---|---|
| Warnungen | microsoft.graph.security.alert-Sammlung | Die Liste der zugehörigen Warnungen. Unterstützt $expand. |
JSON-Darstellung
Die folgende JSON-Darstellung zeigt den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.security.incident",
"id": "String (identifier)",
"incidentWebUrl": "String",
"tenantId": "String",
"redirectIncidentId": "String",
"displayName": "String",
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"assignedTo": "String",
"classification": "String",
"determination": "String",
"status": "String",
"severity": "String",
"customTags": [
"String"
],
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"systemTags" : [
"String"
],
"description" : "String",
"recommendedActions" : "String",
"recommendedHuntingQueries" : [
{
"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"
}
],
"lastModifiedBy": "String"
}
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für