tipo de recurso incident
Namespace: microsoft.graph.security
Un incidente en Microsoft 365 Defender es una colección de instancias de alerta correlacionadas y metadatos asociados que refleja la historia de un ataque a un inquilino.
Los servicios y aplicaciones de Microsoft 365 crean alertas cuando detectan un evento o actividad sospechosos o malintencionados. Las alertas individuales proporcionan pistas valiosas sobre un ataque completado o en curso. Sin embargo, los ataques suelen emplear varias técnicas en distintos tipos de entidades, como dispositivos, usuarios y buzones de entrada. El resultado son varias alertas para varias entidades del espacio empresarial. Dado que unir las alertas individuales para obtener información sobre un ataque puede ser un desafío y un consumo de tiempo, Microsoft 365 Defender agrega automáticamente las alertas y su información asociada a un incidente.
Métodos
| Método | Tipo devuelto | Descripción |
|---|---|---|
| Lista de Incidentes | Colección microsoft.graph.security.incident | Obtenga una lista de objetos de incidente que Microsoft 365 Defender creó para realizar un seguimiento de los ataques en una organización. |
| Obtener incidente | microsoft.graph.security.incident | Lea las propiedades y relaciones de un objeto de incidente . |
| Incidente de actualización | microsoft.graph.security.incident | Actualice las propiedades de un objeto de incidente . |
| Creación de un comentario para el incidente | alertComment | Cree un comentario para un incidente existente en función de la propiedad de identificador de incidente especificada. |
Propiedades
| Propiedad | Tipo | Descripción |
|---|---|---|
| assignedTo | Cadena | Propietario del incidente o null si no se asigna ningún propietario. Texto editable gratuito. |
| classification | microsoft.graph.security.alertClassification | Especificación del incidente. Los valores posibles son: unknown, falsePositive, truePositive, informationalExpectedActivity y unknownFutureValue. |
| comments | Colección microsoft.graph.security.alertComment | Matriz de comentarios creados por el equipo de Operaciones de seguridad (SecOps) cuando se administra el incidente. |
| createdDateTime | DateTimeOffset | Hora en que se creó el incidente por primera vez. |
| customTags | Colección de cadenas | Matriz de etiquetas personalizadas asociadas a un incidente. |
| description | Cadena | Descripción del incidente. |
| determinación | microsoft.graph.security.alertDetermination | Especifica la determinación del incidente. Los valores posibles son: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication y unknownFutureValue. |
| displayName | Cadena | Nombre del incidente. |
| id | Cadena | Identificador único para representar el incidente. |
| incidentWebUrl | Cadena | Dirección URL de la página del incidente en el portal de Microsoft 365 Defender. |
| lastModifiedBy | Cadena | Identidad que modificó por última vez el incidente. |
| lastUpdateDateTime | DateTimeOffset | Hora a la que se actualizó por última vez el incidente. |
| redirectIncidentId | Cadena | Solo se rellena en caso de que un incidente se agrupe con otro incidente, como parte de la lógica que procesa los incidentes. En tal caso, la propiedad status es redirected. |
| resolvingComment | Cadena | Entrada de usuario que explica la resolución del incidente y la opción de clasificación. Esta propiedad contiene texto editable gratuito. |
| severity | alertSeverity | Indica el posible impacto en los recursos. Cuanto mayor sea la gravedad, mayor será el impacto. Normalmente, los elementos de gravedad más altos requieren la atención más inmediata. Los valores posibles son: unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.incidentStatus | Estado del incidente. Los valores posibles son: active, resolved, inProgress, redirected, unknownFutureValuey awaitingAction. |
| summary | Cadena | Información general de un ataque. Cuando corresponda, el resumen contiene detalles de lo que ocurrió, los recursos afectados y el tipo de ataque. |
| systemTags | Colección de cadenas | Etiquetas del sistema asociadas al incidente. |
| tenantId | Cadena | Inquilino de Microsoft Entra en el que se creó la alerta. |
valores incidentStatus
En la tabla siguiente se enumeran los miembros de una enumeración evolvable. Debe usar el encabezado de Prefer: include-unknown-enum-members solicitud para obtener los siguientes valores en esta enumeración evolvable: awaitingAction.
| Member | Descripción |
|---|---|
| activo | El incidente está en estado activo. |
| resolved | El incidente está en estado resuelto. |
| inProgress | El incidente está en curso de mitigación. |
| Redirigido | El incidente se combinó con otro incidente. El identificador de incidente de destino aparece en la propiedad redirectIncidentId . |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
| awaitingAction | Este incidente requiere acciones de expertos de Defender en espera de su acción. Solo los expertos de Microsoft 365 Defender pueden establecer este estado. |
Relaciones
| Relación | Tipo | Descripción |
|---|---|---|
| alertas | Colección microsoft.graph.security.alert | Lista de alertas relacionadas. Admite $expand. |
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String"
}