Compartir a través de


tipo de recurso alert

Namespace: microsoft.graph.security

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Este recurso corresponde a la última generación de alertas en la API de seguridad de Microsoft Graph. Representa posibles problemas de seguridad dentro del inquilino de un cliente. Estos problemas los identifica Microsoft 365 Defender o un proveedor de seguridad integrado con Microsoft 365 Defender.

Los proveedores de seguridad crean una alerta en el sistema cuando detectan una amenaza. Microsoft 365 Defender extrae estos datos de alerta del proveedor de seguridad y consume los datos de alerta para devolver pistas valiosas en un recurso de alerta sobre cualquier ataque relacionado, recursos afectados y pruebas asociadas. Correlaciona automáticamente otras alertas con las mismas técnicas de ataque o con el mismo atacante en un incidente para proporcionar un contexto más amplio de un ataque. Agregar alertas de esta manera permite a los analistas investigar y responder de forma colectiva a las amenazas con facilidad.

Nota:

Este recurso es uno de los dos tipos de alertas que ofrece la versión beta de la API de seguridad de Microsoft Graph. Para obtener más información, consulte alertas.

Métodos

Método Tipo devuelto Descripción
List Colección microsoft.graph.security.alert Obtenga una lista de los recursos de alerta que realizan un seguimiento de las actividades sospechosas en una organización.
Get microsoft.graph.security.alert Obtenga las propiedades de un objeto de alerta de una organización en función de la propiedad de identificador de alerta especificada.
Actualizar microsoft.graph.security.alert Actualice las propiedades de un objeto de alerta de una organización en función de la propiedad de identificador de alerta especificada.
Crear comentario alertComment Cree un comentario para una alerta existente basada en la propiedad de identificador de alerta especificada.

Propiedades

Propiedad Tipo Descripción
actorDisplayName Cadena Adversario o grupo de actividad asociado a esta alerta.
additionalData microsoft.graph.security.dictionary Colección de otras propiedades de alerta, incluidas las propiedades definidas por el usuario. Aquí se almacenan todos los detalles personalizados definidos en la alerta y cualquier contenido dinámico en los detalles de la alerta.
alertPolicyId Cadena Identificador de la directiva que generó la alerta y se rellena cuando hay una directiva específica que generó la alerta, ya sea configurada por un cliente o por una directiva integrada.
alertWebUrl Cadena Dirección URL de la página de alertas del portal de Microsoft 365 Defender.
assignedTo Cadena Propietario de la alerta o null si no se asigna ningún propietario.
categoría Cadena Categoría de la cadena de eliminación de ataques a la que pertenece la alerta. Alineado con el marco de trabajo de MITRE ATT&CK.
classification microsoft.graph.security.alertClassification Especifica si la alerta representa una amenaza verdadera. Los valores posibles son: unknown, falsePositive, truePositive, informationalExpectedActivity y unknownFutureValue.
comments Colección microsoft.graph.security.alertComment Matriz de comentarios creados por el equipo de Operaciones de seguridad (SecOps) durante el proceso de administración de alertas.
createdDateTime DateTimeOffset Hora en que Microsoft 365 Defender creó la alerta.
description Cadena Valor de cadena que describe cada alerta.
detectionSource microsoft.graph.security.detectionSource Tecnología de detección o sensor que identificó el componente o la actividad notables. Los valores posibles son: , , , , smartScreencustomTi, microsoftDefenderForOffice365, microsoftThreatExpertsmicrosoftDefenderForIdentityautomatedInvestigationcustomDetection, cloudAppSecurity, microsoft365Defender, microsoftDefenderForDatabasesmicrosoftDefenderForNetworkmicrosoftDefenderForStorageunknownFutureValuemicrosoftDefenderForServersmicrosoftDefenderForIoTmicrosoftDataLossPreventionappGovernancePolicymicrosoftDefenderForCloudazureAdIdentityProtectionmicrosoftDefenderForDNSmanualappGovernanceDetectionmicrosoftDefenderForContainers, microsoftDefenderForAppService, , microsoftDefenderForKeyVault, , microsoftDefenderForResourceManager, , microsoftDefenderForApiManagement, microsoftSentinel, nrtAlerts, , scheduledAlertsy . microsoftDefenderThreatIntelligenceAnalyticsbuiltInMlantivirusmicrosoftDefenderForEndpointunknown Debe usar el encabezado de Prefer: include-unknown-enum-members solicitud para obtener los siguientes valores en esta enumeración evolvable: microsoftDefenderForCloud, microsoftDefenderForIoT, microsoftDefenderForServers, microsoftDefenderForStorage, microsoftDefenderForDNS, microsoftDefenderForDatabases, microsoftDefenderForContainers, microsoftDefenderForNetwork, microsoftDefenderForAppService, microsoftDefenderForKeyVault, , , microsoftDefenderForResourceManager, microsoftDefenderForApiManagement, microsoftSentinel, nrtAlerts, , scheduledAlertsmicrosoftDefenderThreatIntelligenceAnalytics. builtInMl
detectorId Cadena Identificador del detector que desencadenó la alerta.
productName Cadena Nombre del producto que publicó esta alerta.
determinación microsoft.graph.security.alertDetermination Especifica el resultado de la investigación, si la alerta representa un ataque verdadero y, si es así, la naturaleza del ataque. Los valores posibles son: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication y unknownFutureValue.
evidencia Colección microsoft.graph.security.alertEvidence Recopilación de pruebas relacionadas con la alerta.
firstActivityDateTime DateTimeOffset La actividad más antigua asociada a la alerta.
id Cadena Identificador único para representar el recurso de alerta .
incidentId Cadena Identificador único para representar el incidente al que está asociado este recurso de alerta .
incidentWebUrl Cadena Dirección URL de la página del incidente en el portal de Microsoft 365 Defender.
lastActivityDateTime DateTimeOffset Actividad más antigua asociada a la alerta.
lastUpdateDateTime DateTimeOffset Hora a la que se actualizó por última vez la alerta en Microsoft 365 Defender.
mitreTechniques Collection(Edm.String) Las técnicas de ataque, según se alinean con el marco de trabajo de MITRE ATT&CK.
providerAlertId Cadena Identificador de la alerta tal como aparece en el producto del proveedor de seguridad que generó la alerta.
recommendedActions Cadena Acciones de respuesta y corrección recomendadas para realizar en caso de que se generara esta alerta.
resolvedDateTime DateTimeOffset Hora en que se resolvió la alerta.
serviceSource microsoft.graph.security.serviceSource Servicio o producto que creó esta alerta. Los valores posibles son: unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud y microsoftSentinel. Debe usar el encabezado de Prefer: include-unknown-enum-members solicitud para obtener los siguientes valores en esta enumeración evolvable: microsoftDefenderForCloud, microsoftSentinel.
severity microsoft.graph.security.alertSeverity Indica el posible impacto en los recursos. Cuanto mayor sea la gravedad, mayor será el impacto. Normalmente, los elementos de gravedad más altos requieren la atención más inmediata. Los valores posibles son: unknown, informational, low, medium, high, unknownFutureValue.
status microsoft.graph.security.alertStatus Estado de la alerta. Los valores posibles son: new, inProgress, resolved y unknownFutureValue.
tenantId Cadena Inquilino de Microsoft Entra en el que se creó la alerta.
threatDisplayName Cadena Amenaza asociada a esta alerta.
threatFamilyName Cadena Familia de amenazas asociada a esta alerta.
title Cadena Breve valor de cadena de identificación que describe la alerta.
systemTags Colección string Etiquetas del sistema asociadas a la alerta.

valores de alertClassification

Member Descripción
desconocido La alerta aún no está clasificada.
falsePositive La alerta es un falso positivo y no detectó actividad malintencionada.
truePositive La alerta es verdaderamente positiva y detecta actividad malintencionada.
informationalExpectedActivity La alerta es positiva benigna y detecta una actividad potencialmente malintencionada por parte de un usuario de confianza o interno, por ejemplo, pruebas de seguridad.
unknownFutureValue Valor de sentinel de enumeración evolvable. No usar.

valores alertDetermination

Member Descripción
desconocido Todavía no se ha establecido ningún valor de determinación.
apropiado Una alerta positiva verdadera que detectó una amenaza persistente avanzada.
malware Una verdadera alerta positiva que detecta software malintencionado.
securityPersonnel Una alerta verdaderamente positiva que detectó una actividad sospechosa válida realizada por alguien en el equipo de seguridad del cliente.
securityTesting La alerta detectó una actividad sospechosa válida que se realizó como parte de una prueba de seguridad conocida.
unwantedSoftware La alerta detectó software no deseado.
Otro Otra determinación.
multiStagedAttack Una alerta positiva verdadera que detectó varias fases de ataque de la cadena de eliminación.
compromisedAccount Una alerta verdaderamente positiva que detectó que las credenciales del usuario previsto estaban en peligro o robadas.
suplantación de identidad (phishing) Una alerta verdaderamente positiva que detectó un correo electrónico de suplantación de identidad (phishing).
maliciousUserActivity Una verdadera alerta positiva que detecta que el usuario que ha iniciado sesión realiza actividades malintencionadas.
notMalicious Una alerta falsa, sin actividad sospechosa.
notEnoughDataToValidate Una alerta falsa, sin información suficiente para demostrar lo contrario.
confirmedActivity La alerta detectó una actividad sospechosa verdadera que se considera correcta porque es una actividad de usuario conocida.
lineOfBusinessApplication La alerta detectó una actividad sospechosa verdadera que se considera correcta porque es una aplicación interna conocida y confirmada.
unknownFutureValue Valor de sentinel de enumeración evolvable. No usar.

alertSeverity values (Valores de alertSeverity)

Member Descripción
desconocido Gravedad desconocida.
informativo Alertas que podrían no ser accionables o consideradas dañinas para la red, pero que pueden impulsar el reconocimiento de la seguridad de la organización sobre posibles problemas de seguridad.
Bajo Alertas sobre amenazas asociadas a malware frecuente. Por ejemplo, herramientas de piratería y herramientas de piratería no malware, como ejecutar comandos de exploración y borrar registros, que a menudo no indican una amenaza avanzada destinada a la organización. También puede proceder de una herramienta de seguridad aislada que un usuario de su organización está probando.
medium Alertas generadas a partir de detecciones y comportamientos posteriores a la infracción que podrían formar parte de una amenaza persistente avanzada (APT). Estas alertas incluyen comportamientos observados típicos de las fases de ataque, cambio anómalo del Registro, ejecución de archivos sospechosos, etc. Aunque algunas pueden deberse a pruebas de seguridad internas, son detecciones válidas y requieren investigación, ya que podrían formar parte de un ataque avanzado.
Alto Alertas que se suelen ver asociadas a amenazas persistentes avanzadas (APT). Estas alertas indican un alto riesgo debido a la gravedad de los daños que pueden infligir en los recursos. Algunos ejemplos son: actividades de herramientas de robo de credenciales, actividades de ransomware no asociadas a ningún grupo, manipulación de sensores de seguridad o cualquier actividad malintencionada que indica un adversario humano.
unknownFutureValue Valor de sentinel de enumeración evolvable. No usar.

valores alertStatus

Member Descripción
desconocido Estado desconocido.
Nuevo Nueva alerta.
inProgress La alerta está en curso de mitigación.
resolved La alerta está en estado resuelto.
unknownFutureValue Valor de sentinel de enumeración evolvable. No usar.

valores de serviceSource

Valor Descripción
desconocido Origen de servicio desconocido.
microsoftDefenderForEndpoint Microsoft Defender para punto de conexión.
microsoftDefenderForIdentity Microsoft Defender for Identity.
microsoftDefenderForCloudApps Microsoft Defender for Cloud Apps.
microsoftDefenderForOffice365 Microsoft Defender para Office 365.
microsoft365Defender Microsoft 365 Defender.
azureAdIdentityProtection Microsoft Entra ID Protection.
microsoftAppGovernance Gobernanza de aplicaciones de Microsoft.
dataLossPrevention Prevención de pérdida de datos de Microsoft Purview.
unknownFutureValue Valor de sentinel de enumeración evolvable. No usar.
microsoftDefenderForCloud Microsoft Defender for Cloud.
microsoftSentinel Microsoft Sentinel.

detectionSource values

Valor Descripción
desconocido Origen de detección desconocido.
microsoftDefenderForEndpoint Microsoft Defender para punto de conexión.
antivirus Software antivirus.
smartScreen SmartScreen de Microsoft Defender.
customTi Inteligencia de amenazas personalizada.
microsoftDefenderForOffice365 Microsoft Defender para Office 365.
automatedInvestigation Investigación automatizada.
microsoftThreatExperts Expertos en amenazas de Microsoft
customDetection Detección personalizada.
microsoftDefenderForIdentity Microsoft Defender for Identity.
cloudAppSecurity Seguridad de aplicaciones en la nube.
microsoft365Defender Microsoft 365 Defender.
azureAdIdentityProtection Microsoft Entra ID Protection.
Manual Detección manual.
microsoftDataLossPrevention Prevención de pérdida de datos de Microsoft Purview.
appGovernancePolicy Directiva de gobernanza de aplicaciones.
appGovernanceDetection Detección de gobernanza de aplicaciones.
unknownFutureValue Valor de sentinel de enumeración evolvable. No usar.
microsoftDefenderForCloud Microsoft Defender for Cloud.
microsoftDefenderForIoT Microsoft Defender para IoT.
microsoftDefenderForServers Microsoft Defender para servidores.
microsoftDefenderForStorage Microsoft Defender para Storage.
microsoftDefenderForDNS Microsoft Defender para DNS.
microsoftDefenderForDatabases Microsoft Defender para bases de datos.
microsoftDefenderForContainers Microsoft Defender para contenedores.
microsoftDefenderForNetwork Microsoft Defender for Network.
microsoftDefenderForAppService Microsoft Defender para App Service.
microsoftDefenderForKeyVault Microsoft Defender para Key Vault.
microsoftDefenderForResourceManager Microsoft Defender para Resource Manager.
microsoftDefenderForApiManagement Microsoft Defender para API Management.
microsoftSentinel Microsoft Sentinel.
nrtAlerts Alertas de NRT de Sentinel.
scheduledAlerts Alertas programadas de Sentinel.
microsoftDefenderThreatIntelligenceAnalytics Alertas de inteligencia sobre amenazas de Sentinel.
builtInMl Ml integrado de Sentinel.

Relaciones

Ninguna.

Representación JSON

La siguiente representación JSON muestra el tipo de recurso.

{
  "@odata.type": "#microsoft.graph.security.alert",
  "id": "String (identifier)",
  "providerAlertId": "String",
  "incidentId": "String",
  "status": "String",
  "severity": "String",
  "classification": "String",
  "determination": "String",
  "serviceSource": "String",
  "detectionSource": "String",
  "productName": "String",
  "detectorId": "String",
  "tenantId": "String",
  "title": "String",
  "description": "String",
  "recommendedActions": "String",
  "category": "String",
  "assignedTo": "String",
  "alertWebUrl": "String",
  "incidentWebUrl": "String",
  "actorDisplayName": "String",
  "threatDisplayName": "String",
  "threatFamilyName": "String",
  "mitreTechniques": [
    "String"
  ],
  "createdDateTime": "String (timestamp)",
  "lastUpdateDateTime": "String (timestamp)",
  "resolvedDateTime": "String (timestamp)",
  "firstActivityDateTime": "String (timestamp)",
  "lastActivityDateTime": "String (timestamp)",
  "comments": [
    {
      "@odata.type": "microsoft.graph.security.alertComment"
    }
  ],
  "evidence": [
    {
      "@odata.type": "microsoft.graph.security.alertEvidence"
    }
  ],
  "systemTags" : [
    "String",
    "String"
  ],
  "additionalData": {
    "@odata.type": "microsoft.graph.security.dictionary"
  }
}