Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Namespace: microsoft.graph.security
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Stellt eine Korrekturaktion für einen Incident dar. Wenn Microsoft Defender Experts for XDR eine erforderliche Aktion identifiziert, wird eine Aufgabe erstellt, die Sie überprüfen und bearbeiten können. Überprüfen Sie diese Aufgaben, und ergreifen Sie entsprechende Maßnahmen über das Portal oder mithilfe dieser API.
Erbt von microsoft.graph.entity.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| List | microsoft.graph.security.incidentTask-Sammlung | Ruft Incidenttaskobjekte und deren Eigenschaften ab. |
| Get | microsoft.graph.security.incidentTask | Lesen von Eigenschaften und Beziehungen eines Incidenttasks. |
| Update | microsoft.graph.security.incidentTask | Aktualisieren Sie die status einer Incidentaufgabe. |
| Aktion "Antwort ausführen" | Keine | Führen Sie eine Korrekturaktion für einen Incidenttask aus. Auf unterstützte Aktionstypen beschränkt. |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| actionStatus | microsoft.graph.security.incidentTaskActionStatus | Die Ausführung status der Aktion. Mögliche Werte sind: notStarted, inProgress, partiallyCompleted, completed, failed, unknownFutureValue. Weitere Informationen finden Sie unter incidentTaskActionStatus-Werte. |
| actionType | microsoft.graph.security.incidentTaskActionType | Die auszuführende Wartungsaktion. Die möglichen Werte sind: text, isolateDevice, stopAndQuarantineFile, runAntiVirusScan, collectInvestigationPackage, , restrictAppExecution, forceUserPasswordResetsubmitIocRule, disableUser, markUserAsCompromisedrequireSignInsoftDeleteEmailhardDeleteEmail, unIsolateDevice, unRestrictAppExecution, enableUser, , . unknownFutureValue Weitere Informationen finden Sie unter incidentTaskActionType-Werte. |
| createdByDisplayName | Zeichenfolge | Name der Entität, die die Aufgabe erstellt hat. Schreibgeschützt. |
| createdDateTime | DateTimeOffset | Erstellungszeit der Aufgabe. Schreibgeschützt. |
| description | Zeichenfolge | Beschreibung der Wartungsaktion. |
| displayName | String | Titel der Aufgabe. |
| id | Zeichenfolge | Eindeutiger GUID-Bezeichner für die Aufgabe. |
| lastModifiedByDisplayName | Zeichenfolge | Name der Entität, die die Aufgabe zuletzt aktualisiert hat. Schreibgeschützt. |
| lastModifiedDateTime | DateTimeOffset | Zeitpunkt der letzten Aktualisierung des Vorgangs. Schreibgeschützt. |
| responseAction | microsoft.graph.security.incidentTaskResponseAction | Die Reponse-Aktion. |
| source | microsoft.graph.security.incidentTaskSource | Ursprung der Aufgabe. Die möglichen Werte sind: defenderExpertsGuidedResponse, defenderExpertsManagedResponse, unknownFutureValue. Weitere Informationen finden Sie unter incidentTaskSource-Werte. |
| status | microsoft.graph.security.incidentTaskStatus | Aktuelle status. Diese Eigenschaft ist die einzige Eigenschaft, die Sie aktualisieren können. Mögliche Werte sind: open, inProgress, completed, failed, notRelevant, unknownFutureValue. Weitere Informationen finden Sie unter incidentTaskStatus-Werte. |
incidentTaskActionStatus-Werte
| Member | Beschreibung |
|---|---|
| notStarted | Die Aktion im Zusammenhang mit der Incidentaufgabe wird nicht gestartet. |
| inProgress | Die Aktion im Zusammenhang mit der Incidentaufgabe ist inProgress. |
| partiallyCompleted | Die Aktion im Zusammenhang mit der Incidentaufgabe ist teilweise abgeschlossen. |
| abgeschlossen | Die Aktion im Zusammenhang mit der Incidentaufgabe ist abgeschlossen. |
| misslungen | Die Aktion im Zusammenhang mit der Incidentaufgabe ist fehlgeschlagen. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
incidentTaskActionType-Werte
| Member | Beschreibung |
|---|---|
| text | Aktion kann ein beliebiger Freitext sein, z. B. kann das SOC den Kunden anleiten, sein Gerät zu formatieren. |
| isolateDevice | Verwendet Microsoft Defender for Endpoint, um eine vollständige Netzwerkisolation anzuwenden und zu verhindern, dass das Gerät eine Verbindung mit einer Anwendung oder einem Dienst herstellt. |
| stopAndQuarantineFile | Verwendet Microsoft Defender for Endpoint, um eine Datei vom Gerät zu löschen. |
| runAntiVirusScan | Führt Microsoft Defender Antivirus-Überprüfung auf dem Gerät aus. |
| collectInvestigationPackage | Verwendet Microsoft Defender for Endpoint, um Geräteprotokolle zu sammeln und in einer ZIP-Datei zu speichern. |
| restrictAppExecution | Legt Einschränkungen für das Gerät fest, damit nur ausführbare Dateien ausgeführt werden können, die mit einem von Microsoft ausgestellten Zertifikat signiert sind. |
| submitIocRule | IOC-Regel übermitteln. |
| forceUserPasswordReset | Zwingt den Benutzer, sein Kennwort zurückzusetzen. |
| disableUser | Vorübergehend verhindert, dass sich ein Benutzer bei der lokalen Umgebung anmeldet. |
| markUserAsCompromised | Legt die Risikostufe für Benutzer in Azure Active Directory auf "hoch" fest. |
| requireSignIn | Erfordert, dass sich der Benutzer erneut anmeldet. |
| hardDeleteEmail | Löscht die E-Mail-Nachricht. |
| softDeleteEmail | Verschiebt die E-Mail-Nachricht in den gelöschten Ordner. |
| unIsolateDevice | Setzt die Aktion isolateDevice-Antwort zurück. |
| unRestrictAppExecution | Setzt die RestrictAppExecution-Antwortaktion zurück. |
| enableUser | Setzt die Aktion disableUser-Antwort zurück. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
incidentTaskSource-Werte
| Member | Beschreibung |
|---|---|
| defenderExpertsGuidedResponse | Die Defender Experts-Incidentaufgabe steht für den Kunden zur Ausführung aus. |
| defenderExpertsManagedResponse | Die Ausführung der Defender Experts-Incidentaufgabe wird von Defender Experts ausgeführt. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
incidentTaskStatus-Werte
| Member | Beschreibung |
|---|---|
| offen | Die Incidentaufgabe ist als geöffnet gekennzeichnet. |
| inProgress | Die Incidentaufgabe wird als in Bearbeitung markiert. |
| abgeschlossen | Die Incidentaufgabe wird als abgeschlossen markiert. |
| misslungen | Der Incidenttask ist als fehlerhaft gekennzeichnet. Fehler bei der Ausführung in Aktion legt fest, dass auch der Incidenttask status fehlgeschlagen ist. |
| notRelevant | Die Incidentaufgabe ist als nicht relevant gekennzeichnet. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
Beziehungen
| Beziehung | Typ | Beschreibung |
|---|---|---|
| Vorfall | microsoft.graph.security.incident | Erforderlich. Der Incident, der diese Aufgabe enthält. Muss eine gültige Incident-ID enthalten. |
JSON-Darstellung
Der folgende JSON-Code zeigt die Ressourcentypstruktur.
{
"@odata.type": "#microsoft.graph.security.incidentTask",
"id": "String (identifier)",
"status": "String",
"source": "String",
"displayName": "String",
"description": "String",
"createdDateTime": "String (timestamp)",
"createdByDisplayName": "String",
"lastModifiedDateTime": "String (timestamp)",
"lastModifiedByDisplayName": "String",
"actionStatus": "String",
"actionType": "String",
"incident": {
"@odata.type": "microsoft.graph.security.incident",
"id": "String"
}
}