Compartir a través de


tipo de recurso incident

Namespace: microsoft.graph.security

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Un incidente en Microsoft 365 Defender es una colección de instancias de alerta correlacionadas y metadatos asociados que refleja la historia de un ataque en un inquilino.

Los servicios y aplicaciones de Microsoft 365 crean alertas cuando detectan un evento o actividad sospechosos o malintencionados. Las alertas individuales proporcionan pistas valiosas sobre un ataque completado o en curso. Sin embargo, los ataques suelen emplear varias técnicas en distintos tipos de entidades, como dispositivos, usuarios y buzones de entrada. El resultado son varias alertas para varias entidades del espacio empresarial. Dado que unir las alertas individuales para obtener información sobre un ataque puede ser un desafío y un consumo de tiempo, Microsoft 365 Defender agrega automáticamente las alertas y su información asociada a un incidente.

Métodos

Método Tipo devuelto Descripción
Lista de Incidentes Colección microsoft.graph.security.incident Obtenga una lista de objetos de incidente que Microsoft 365 Defender creó para realizar un seguimiento de los ataques en una organización.
Obtener incidente microsoft.graph.security.incident Lea las propiedades y relaciones de un objeto de incidente .
Incidente de actualización microsoft.graph.security.incident Actualice las propiedades de un objeto de incidente .
Creación de un comentario para el incidente alertComment Cree un comentario para un incidente existente en función de la propiedad de identificador de incidente especificada.

Propiedades

Propiedad Tipo Descripción
assignedTo Cadena Propietario del incidente o null si no se asigna ningún propietario. Texto editable gratuito.
classification microsoft.graph.security.alertClassification Especificación del incidente. Los valores posibles son: unknown, falsePositive, truePositive, informationalExpectedActivity y unknownFutureValue.
comments Colección microsoft.graph.security.alertComment Matriz de comentarios creados por el equipo de Operaciones de seguridad (SecOps) cuando se administra el incidente.
createdDateTime DateTimeOffset Hora en que se creó el incidente por primera vez.
customTags Colección string Colección de etiquetas personalizadas asociadas a un incidente.
description Cadena Descripción del incidente.
description Cadena Cadena de texto enriquecido que describe el incidente
determinación microsoft.graph.security.alertDetermination Especifica la determinación del incidente. Los valores posibles son: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication y unknownFutureValue.
displayName Cadena Nombre del incidente.
id Cadena Identificador único para representar el incidente.
incidentWebUrl Cadena Dirección URL de la página del incidente en el portal de Microsoft 365 Defender.
lastModifiedBy Cadena Identidad que modificó por última vez el incidente.
lastUpdateDateTime DateTimeOffset Hora a la que se actualizó por última vez el incidente.
recommendedActions Cadena Cadena de texto enriquecido que representa las acciones que se reccomnded realizar para resolver el incidente.
recommendedHuntingQueries Collection(microsoft.graph.security.recommendedHuntingQuery) Lista de consultas de kusto query language (KQL) de búsqueda relacionadas con el incidente.
redirectIncidentId Cadena Solo se rellena en caso de que un incidente se agrupe junto con otro incidente, como parte de la lógica que procesa los incidentes. En tal caso, la propiedad status es redirected.
resolvingComment Cadena Entrada de usuario que explica la resolución del incidente y la opción de clasificación. Esta propiedad contiene texto editable gratuito.
severity alertSeverity Indica el posible impacto en los recursos. Cuanto mayor sea la gravedad, mayor será el impacto. Normalmente, los elementos de gravedad más altos requieren la atención más inmediata. Los valores posibles son: unknown, informational, low, medium, high, unknownFutureValue.
status microsoft.graph.security.incidentStatus Estado del incidente. Los valores posibles son: active, resolved, inProgress, redirected, unknownFutureValuey awaitingAction.
summary Cadena Información general de un ataque. Cuando corresponda, el resumen contiene detalles de lo que ocurrió, los recursos afectados y el tipo de ataque.
systemTags Colección de cadenas Colección de etiquetas del sistema asociadas al incidente.
tenantId Cadena Inquilino de Microsoft Entra en el que se creó la alerta.

valores incidentStatus

En la tabla siguiente se enumeran los miembros de una enumeración evolvable. Debe usar el encabezado de Prefer: include-unknown-enum-members solicitud para obtener los siguientes valores en esta enumeración evolvable: awaitingAction.

Member Descripción
activo El incidente está en estado activo.
resolved El incidente está en estado resuelto.
inProgress El incidente está en curso de mitigación.
Redirigido El incidente se combinó con otro incidente. El identificador de incidente de destino aparece en la propiedad redirectIncidentId .
unknownFutureValue Valor de sentinel de enumeración evolvable. No usar.
awaitingAction Este incidente requiere acciones de expertos de Defender en espera de su acción. Solo los expertos de Microsoft 365 Defender pueden establecer este estado.

Relaciones

Relación Tipo Descripción
alertas Colección microsoft.graph.security.alert Lista de alertas relacionadas. Admite $expand.

Representación JSON

La siguiente representación JSON muestra el tipo de recurso.

{
  "@odata.type": "#microsoft.graph.security.incident",
  "assignedTo": "String",
  "classification": "String",
  "comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
  "createdDateTime": "String (timestamp)",
  "customTags": ["String"],
  "description" : "String",
  "determination": "String",
  "displayName": "String",
  "id": "String (identifier)",
  "incidentWebUrl": "String",
  "lastModifiedBy": "String",
  "lastUpdateDateTime": "String (timestamp)",
  "recommendedActions" : "String",
  "recommendedHuntingQueries" : [{"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"}],
  "redirectIncidentId": "String",
  "resolvingComment": "String",
  "severity": "String",
  "status": "String",
  "summary": "String",
  "systemTags" : ["String"],
  "tenantId": "String"
}