tipo de recurso alertEvidence
Espacio de nombres: microsoft.graph.security
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Representa pruebas relacionadas con una alerta.
El tipo base alertEvidence y sus tipos de evidencia derivados proporcionan un medio para organizar y realizar un seguimiento de los datos enriquecidos sobre cada artefacto implicado en una alerta. Por ejemplo, una alerta sobre la dirección IP de un atacante que inicia sesión en un servicio en la nube mediante una cuenta de usuario en peligro puede realizar el seguimiento de las siguientes pruebas:
- Evidencia de IP con los roles de
attackerysource, estado de corrección derunningy veredicto demalicious. - Evidencia de aplicación en la nube con un rol de
contextual. - Evidencia de buzón de correo de la cuenta de usuario pirateada con un rol de
compromised.
Este recurso es el tipo base para los siguientes tipos de evidencia:
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailClusterEvidence
- mailboxEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- urlEvidence
- userEvidence
Propiedades
| Propiedad | Tipo | Descripción |
|---|---|---|
| createdDateTime | DateTimeOffset | Fecha y hora en que se crearon las pruebas y se agregaron a la alerta. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. |
| detailedRoles | Colección string | Descripción detallada de los roles de entidad en una alerta. Los valores son de forma libre. |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | Estado de la acción de corrección realizada. Los valores posibles son: none, remediated, prevented, blocked, notFound, unknownFutureValue. |
| remediationStatusDetails | Cadena | Detalles sobre el estado de corrección. |
| roles | Colección microsoft.graph.security.evidenceRole | Los roles que una entidad de evidencia representa en una alerta, por ejemplo, una dirección IP asociada a un atacante tiene el rol de evidencia Atacante. |
| tags | Colección string | Matriz de etiquetas personalizadas asociadas a una instancia de evidencia, por ejemplo, para indicar un grupo de dispositivos, recursos de alto valor, etc. |
| Veredicto | microsoft.graph.security.evidenceVerdict | La decisión alcanzada por la investigación automatizada. Los valores posibles son: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue. |
detectionSource values
| Valor | Descripción |
|---|---|
| Detectado | Se detectó un producto de la amenaza que se ejecutó. |
| Bloqueado | La amenaza se corrigió en tiempo de ejecución. |
| Prevenido | Se impidió que se produjera la amenaza (ejecución, descarga, etc.). |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
valores evidenceRemediationStatus
| Member | Descripción |
|---|---|
| ninguno | No se encontraron amenazas. |
| Remediadas | La acción de corrección se ha completado correctamente. |
| Prevenido | No se pudo ejecutar la amenaza. |
| Bloqueado | La amenaza se bloqueó durante la ejecución. |
| notFound | No se encontraron las pruebas. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
evidenceRole valores
| Member | Descripción |
|---|---|
| desconocido | Se desconoce el rol de evidencia. |
| contextual | Una entidad que surgió probablemente benigna pero que se notificó como un efecto secundario de la acción de un atacante, por ejemplo, el proceso de services.exe benigno se usó para iniciar un servicio malintencionado. |
| Escaneado | Una entidad identificada como destino de las acciones de detección o reconocimiento, por ejemplo, se usó un escáner de puertos para examinar una red. |
| source | Entidad de la que se originó la actividad, por ejemplo, dispositivo, usuario, dirección IP, etc. |
| Destino | Entidad a la que se envió la actividad, por ejemplo, dispositivo, usuario, dirección IP, etc. |
| creado | La entidad se creó como resultado de las acciones de un atacante, por ejemplo, se creó una cuenta de usuario. |
| agregado | La entidad se agregó como resultado de las acciones de un atacante, por ejemplo, se agregó una cuenta de usuario a un grupo de permisos. |
| Comprometido | La entidad se ha puesto en peligro y está bajo el control de un atacante, por ejemplo, una cuenta de usuario se ha puesto en peligro y se ha usado para iniciar sesión en un servicio en la nube. |
| edited | Un atacante editó o cambió la entidad, por ejemplo, la clave del Registro de un servicio para que apunte a la ubicación de una nueva carga malintencionada. |
| Atacado | La entidad se atacó, por ejemplo, un dispositivo fue el destino de un ataque DDoS. |
| Atacante | La entidad representa al atacante, por ejemplo, la dirección IP del atacante observada al iniciar sesión en un servicio en la nube mediante una cuenta de usuario en peligro. |
| commandAndControl | La entidad se usa para el comando y el control, por ejemplo, un dominio C2 (comando y control) usado por el malware. |
| Cargado | La entidad la cargó un proceso bajo el control de un atacante; por ejemplo, se cargó un archivo Dll en un proceso controlado por el atacante. |
| Sospechoso | Se sospecha que la entidad es malintencionada o controlada por un atacante, pero no ha sido incriminada. |
| policyViolator | La entidad es un violador de una directiva definida por el cliente. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
valores evidenceRemediationStatus
| Member | Descripción |
|---|---|
| desconocido | No se determinó ningún veredicto para las pruebas. |
| Sospechoso | Acciones de corrección recomendadas en espera de aprobación. |
| Maliciosos | Se determinó que la evidencia era malintencionada. |
| Limpio | No se detectó ninguna amenaza: la evidencia es benigna. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
evidenceVerdict valores
| Member | Descripción |
|---|---|
| desconocido | No se determinó ningún veredicto para las pruebas. |
| Sospechoso | Acciones de corrección recomendadas en espera de aprobación. |
| Maliciosos | Se determinó que la evidencia era malintencionada. |
| noThreatsFound | No se detectó ninguna amenaza: la evidencia es benigna. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
Relaciones
Ninguna.
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de