tipo de recurso alert
Espacio de nombres: microsoft.graph.security
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Este recurso corresponde a la última generación de alertas en la API de seguridad de Microsoft Graph. Representa posibles problemas de seguridad dentro del inquilino de un cliente. Estos problemas los identifica Microsoft 365 Defender o un proveedor de seguridad integrado con Microsoft 365 Defender.
Los proveedores de seguridad crean una alerta en el sistema cuando detectan una amenaza. Microsoft 365 Defender extrae estos datos de alerta del proveedor de seguridad y consume los datos de alerta para devolver pistas valiosas en un recurso de alerta sobre cualquier ataque relacionado, recursos afectados y pruebas asociadas. Correlaciona automáticamente otras alertas con las mismas técnicas de ataque o con el mismo atacante en un incidente para proporcionar un contexto más amplio de un ataque. Agregar alertas de esta manera permite a los analistas investigar y responder de forma colectiva a las amenazas con facilidad.
Nota:
Este recurso es uno de los dos tipos de alertas que ofrece la versión beta de la API de seguridad de Microsoft Graph. Para obtener más información, consulte alertas.
Métodos
| Método | Tipo devuelto | Descripción |
|---|---|---|
| Enumerar alerts_v2 | Colección microsoft.graph.security.alert | Obtenga una lista de los recursos de alerta que realizan un seguimiento de las actividades sospechosas en una organización. |
| Get alert | microsoft.graph.security.alert | Obtenga las propiedades de un objeto de alerta de una organización en función de la propiedad de identificador de alerta especificada. |
| Update alert | microsoft.graph.security.alert | Actualice las propiedades de un objeto de alerta de una organización en función de la propiedad de identificador de alerta especificada. |
| Creación de un comentario para la alerta | alertComment | Cree un comentario para una alerta existente basada en la propiedad de identificador de alerta especificada. |
Propiedades
| Propiedad | Tipo | Descripción |
|---|---|---|
| actorDisplayName | Cadena | Adversario o grupo de actividad asociado a esta alerta. |
| additionalData | microsoft.graph.security.dictionary | Colección de otras propiedades de alerta, incluidas las propiedades definidas por el usuario. Aquí se almacenan todos los detalles personalizados definidos en la alerta y cualquier contenido dinámico en los detalles de la alerta. |
| alertPolicyId | Cadena | Identificador de la directiva que generó la alerta y se rellena cuando hay una directiva específica que generó la alerta, ya sea configurada por un cliente o por una directiva integrada. |
| alertWebUrl | Cadena | Dirección URL de la página de alertas del portal de Microsoft 365 Defender. |
| assignedTo | Cadena | Propietario de la alerta o null si no se asigna ningún propietario. |
| categoría | Cadena | Categoría de la cadena de eliminación de ataques a la que pertenece la alerta. Alineado con el marco de trabajo de MITRE ATT&CK. |
| classification | microsoft.graph.security.alertClassification | Especifica si la alerta representa una amenaza verdadera. Los valores posibles son: unknown, falsePositive, truePositive, informationalExpectedActivity y unknownFutureValue. |
| comments | Colección microsoft.graph.security.alertComment | Matriz de comentarios creados por el equipo de Operaciones de seguridad (SecOps) durante el proceso de administración de alertas. |
| createdDateTime | DateTimeOffset | Hora en que Microsoft 365 Defender creó la alerta. |
| description | Cadena | Valor de cadena que describe cada alerta. |
| detectionSource | microsoft.graph.security.detectionSource | Tecnología de detección o sensor que identificó el componente o la actividad notables. Los valores posibles son: , , , , smartScreencustomTi, microsoftDefenderForOffice365, microsoftThreatExpertsmicrosoftDefenderForIdentityautomatedInvestigationcustomDetection, cloudAppSecurity, microsoft365Defender, microsoftDefenderForDatabasesmicrosoftDefenderForNetworkmicrosoftDefenderForStorageunknownFutureValuemicrosoftDefenderForServersmicrosoftDefenderForIoTmicrosoftDataLossPreventionappGovernancePolicymicrosoftDefenderForCloudazureAdIdentityProtectionmicrosoftDefenderForDNSmanualappGovernanceDetectionmicrosoftDefenderForContainers, microsoftDefenderForAppService, , microsoftDefenderForKeyVault, , microsoftDefenderForResourceManager, , microsoftDefenderForApiManagement, microsoftSentinel, nrtAlerts, , scheduledAlertsy . microsoftDefenderThreatIntelligenceAnalyticsbuiltInMlantivirusmicrosoftDefenderForEndpointunknown Debe usar el encabezado de Prefer: include-unknown-enum-members solicitud para obtener los siguientes valores en esta enumeración evolvable: microsoftDefenderForCloud, microsoftDefenderForIoT, microsoftDefenderForServers, microsoftDefenderForStorage, microsoftDefenderForDNS, microsoftDefenderForDatabases, microsoftDefenderForContainers, microsoftDefenderForNetwork, microsoftDefenderForAppService, microsoftDefenderForKeyVault, , , microsoftDefenderForResourceManager, microsoftDefenderForApiManagement, microsoftSentinel, nrtAlerts, , scheduledAlertsmicrosoftDefenderThreatIntelligenceAnalytics. builtInMl |
| detectorId | Cadena | Identificador del detector que desencadenó la alerta. |
| productName | Cadena | Nombre del producto que publicó esta alerta. |
| Determinación | microsoft.graph.security.alertDetermination | Especifica el resultado de la investigación, si la alerta representa un ataque verdadero y, si es así, la naturaleza del ataque. Los valores posibles son: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication y unknownFutureValue. |
| Evidencia | Colección microsoft.graph.security.alertEvidence | Recopilación de pruebas relacionadas con la alerta. |
| firstActivityDateTime | DateTimeOffset | La actividad más antigua asociada a la alerta. |
| id | Cadena | Identificador único para representar el recurso de alerta . |
| incidentId | Cadena | Identificador único para representar el incidente al que está asociado este recurso de alerta . |
| incidentWebUrl | Cadena | Dirección URL de la página del incidente en el portal de Microsoft 365 Defender. |
| lastActivityDateTime | DateTimeOffset | Actividad más antigua asociada a la alerta. |
| lastUpdateDateTime | DateTimeOffset | Hora a la que se actualizó por última vez la alerta en Microsoft 365 Defender. |
| mitreTechniques | Collection(Edm.String) | Las técnicas de ataque, según se alinean con el marco de trabajo de MITRE ATT&CK. |
| providerAlertId | Cadena | Identificador de la alerta tal como aparece en el producto del proveedor de seguridad que generó la alerta. |
| recommendedActions | Cadena | Acciones de respuesta y corrección recomendadas para realizar en caso de que se generara esta alerta. |
| resolvedDateTime | DateTimeOffset | Hora en que se resolvió la alerta. |
| serviceSource | microsoft.graph.security.serviceSource | Servicio o producto que creó esta alerta. Los valores posibles son: unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud y microsoftSentinel. Debe usar el encabezado de Prefer: include-unknown-enum-members solicitud para obtener los siguientes valores en esta enumeración evolvable: microsoftDefenderForCloud, microsoftSentinel. |
| severity | microsoft.graph.security.alertSeverity | Indica el posible impacto en los recursos. Cuanto mayor sea la gravedad, mayor será el impacto. Normalmente, los elementos de gravedad más altos requieren la atención más inmediata. Los valores posibles son: unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.alertStatus | Estado de la alerta. Los valores posibles son: new, inProgress, resolved y unknownFutureValue. |
| tenantId | Cadena | El Microsoft Entra inquilino en el que se creó la alerta. |
| threatDisplayName | Cadena | Amenaza asociada a esta alerta. |
| threatFamilyName | Cadena | Familia de amenazas asociada a esta alerta. |
| title | Cadena | Breve valor de cadena de identificación que describe la alerta. |
| systemTags | Colección string | Etiquetas del sistema asociadas a la alerta. |
valores de alertClassification
| Member | Descripción |
|---|---|
| desconocido | La alerta aún no está clasificada. |
| falsePositive | La alerta es un falso positivo y no detectó actividad malintencionada. |
| truePositive | La alerta es verdaderamente positiva y detecta actividad malintencionada. |
| informationalExpectedActivity | La alerta es positiva benigna y detecta una actividad potencialmente malintencionada por parte de un usuario de confianza o interno, por ejemplo, pruebas de seguridad. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
valores alertDetermination
| Member | Descripción |
|---|---|
| desconocido | Todavía no se ha establecido ningún valor de determinación. |
| Apt | Una alerta positiva verdadera que detectó una amenaza persistente avanzada. |
| malware | Una verdadera alerta positiva que detecta software malintencionado. |
| securityPersonnel | Una alerta verdaderamente positiva que detectó una actividad sospechosa válida realizada por alguien en el equipo de seguridad del cliente. |
| securityTesting | La alerta detectó una actividad sospechosa válida que se realizó como parte de una prueba de seguridad conocida. |
| unwantedSoftware | La alerta detectó software no deseado. |
| multiStagedAttack | Una alerta positiva verdadera que detectó varias fases de ataque de la cadena de eliminación. |
| compromisedAccount | Una alerta verdaderamente positiva que detectó que las credenciales del usuario previsto estaban en peligro o robadas. |
| suplantación de identidad (phishing) | Una alerta verdaderamente positiva que detectó un correo electrónico de suplantación de identidad (phishing). |
| maliciousUserActivity | Una verdadera alerta positiva que detecta que el usuario que ha iniciado sesión realiza actividades malintencionadas. |
| notMalicious | Una alerta falsa, sin actividad sospechosa. |
| notEnoughDataToValidate | Una alerta falsa, sin información suficiente para demostrar lo contrario. |
| confirmedActivity | La alerta detectó una actividad sospechosa verdadera que se considera correcta porque es una actividad de usuario conocida. |
| lineOfBusinessApplication | La alerta detectó una actividad sospechosa verdadera que se considera correcta porque es una aplicación interna conocida y confirmada. |
| Otro | Otra determinación. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
alertSeverity values (Valores de alertSeverity)
| Member | Descripción |
|---|---|
| desconocido | Gravedad desconocida. |
| Informativo | Alertas que podrían no ser accionables o consideradas dañinas para la red, pero que pueden impulsar el reconocimiento de la seguridad de la organización sobre posibles problemas de seguridad. |
| Bajo | Alertas sobre amenazas asociadas a malware frecuente. Por ejemplo, herramientas de piratería y herramientas de piratería no malware, como ejecutar comandos de exploración y borrar registros, que a menudo no indican una amenaza avanzada destinada a la organización. También puede proceder de una herramienta de seguridad aislada que un usuario de su organización está probando. |
| medium | Alertas generadas a partir de detecciones y comportamientos posteriores a la infracción que podrían formar parte de una amenaza persistente avanzada (APT). Estas alertas incluyen comportamientos observados típicos de las fases de ataque, cambio anómalo del Registro, ejecución de archivos sospechosos, etc. Aunque algunas pueden deberse a pruebas de seguridad internas, son detecciones válidas y requieren investigación, ya que podrían formar parte de un ataque avanzado. |
| Alto | Alertas que se suelen ver asociadas a amenazas persistentes avanzadas (APT). Estas alertas indican un alto riesgo debido a la gravedad de los daños que pueden infligir en los recursos. Algunos ejemplos son: actividades de herramientas de robo de credenciales, actividades de ransomware no asociadas a ningún grupo, manipulación de sensores de seguridad o cualquier actividad malintencionada que indica un adversario humano. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
valores alertStatus
| Member | Descripción |
|---|---|
| desconocido | Estado desconocido. |
| Nuevo | Nueva alerta. |
| inProgress | La alerta está en curso de mitigación. |
| resolved | La alerta está en estado resuelto. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
valores de serviceSource
| Valor | Descripción |
|---|---|
| desconocido | Origen de servicio desconocido. |
| microsoftDefenderForEndpoint | Microsoft Defender para punto de conexión. |
| microsoftDefenderForIdentity | Microsoft Defender for Identity. |
| microsoftDefenderForCloudApps | Microsoft Defender for Cloud Apps. |
| microsoftDefenderForOffice365 | Microsoft Defender para Office 365. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Protección de Microsoft Entra ID. |
| microsoftAppGovernance | Gobernanza de aplicaciones de Microsoft. |
| dataLossPrevention | Prevención de pérdida de datos de Microsoft Purview. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
| microsoftDefenderForCloud | Microsoft Defender for Cloud. |
| microsoftSentinel | Microsoft Sentinel. |
detectionSource values
| Valor | Descripción |
|---|---|
| desconocido | Origen de detección desconocido. |
| microsoftDefenderForEndpoint | Microsoft Defender para el punto de conexión. |
| antivirus | Software antivirus. |
| smartScreen | Microsoft Defender SmartScreen. |
| customTi | Inteligencia de amenazas personalizada. |
| microsoftDefenderForOffice365 | Microsoft Defender para Office 365. |
| automatedInvestigation | Investigación automatizada. |
| microsoftThreatExperts | Expertos en amenazas de Microsoft |
| customDetection | Detección personalizada. |
| microsoftDefenderForIdentity | Microsoft Defender for Identity. |
| cloudAppSecurity | Seguridad de aplicaciones en la nube. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Protección de Microsoft Entra ID. |
| Manual | Detección manual. |
| microsoftDataLossPrevention | Prevención de pérdida de datos de Microsoft Purview. |
| appGovernancePolicy | Directiva de gobernanza de aplicaciones. |
| appGovernanceDetection | Detección de gobernanza de aplicaciones. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
| microsoftDefenderForCloud | Microsoft Defender for Cloud. |
| microsoftDefenderForIoT | Microsoft Defender para IoT. |
| microsoftDefenderForServers | Microsoft Defender para servidores. |
| microsoftDefenderForStorage | Microsoft Defender para Storage. |
| microsoftDefenderForDNS | Microsoft Defender para DNS. |
| microsoftDefenderForDatabases | Microsoft Defender para bases de datos. |
| microsoftDefenderForContainers | Microsoft Defender para contenedores. |
| microsoftDefenderForNetwork | Microsoft Defender para Red. |
| microsoftDefenderForAppService | Microsoft Defender para App Service. |
| microsoftDefenderForKeyVault | Microsoft Defender para Key Vault. |
| microsoftDefenderForResourceManager | Microsoft Defender para Resource Manager. |
| microsoftDefenderForApiManagement | Microsoft Defender para API Management. |
| microsoftSentinel | Microsoft Sentinel. |
| nrtAlerts | Alertas de NRT de Sentinel. |
| scheduledAlerts | Alertas programadas de Sentinel. |
| microsoftDefenderThreatIntelligenceAnalytics | Alertas de inteligencia sobre amenazas de Sentinel. |
| builtInMl | Ml integrado de Sentinel. |
Relaciones
Ninguna.
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de