Lista de Incidentes

Artículo
02/21/2024

Espacio de nombres: microsoft.graph.security

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Obtenga una lista de objetos de incidente que Microsoft 365 Defender creó para realizar un seguimiento de los ataques en una organización.

Los ataques suelen infligidos a diferentes tipos de entidades, como dispositivos, usuarios y buzones, lo que da lugar a varios objetos de alerta . Microsoft 365 Defender correlaciona las alertas con las mismas técnicas de ataque o con el mismo atacante en un incidente.

Esta operación le permite filtrar y ordenar los incidentes para crear una respuesta de ciberseguridad informada. Expone una colección de incidentes marcados en la red, dentro del intervalo de tiempo especificado en la directiva de retención del entorno. Los incidentes más recientes se muestran en la parte superior de la lista.

Esta API está disponible en las siguientes implementaciones nacionales de nube.

Servicio global	Gobierno de EE. UU. L4	Us Government L5 (DOD)	China operada por 21Vianet
✅	✅	✅	❌

Permissions

Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.

Tipo de permiso	Permisos con privilegios mínimos	Permisos con privilegios más altos
Delegado (cuenta profesional o educativa)	SecurityIncident.Read.All	SecurityIncident.ReadWrite.All
Delegado (cuenta personal de Microsoft)	No admitida.	No admitida.
Aplicación	SecurityIncident.Read.All	SecurityIncident.ReadWrite.All

Solicitud HTTP

GET /security/incidents

Parámetros de consulta opcionales

Este método admite los siguientes parámetros de consulta de OData para ayudar a personalizar la respuesta: $count, $filter, $skip, $top, $expand.

Las propiedades siguientes admiten $filter : assignedTo, classification, createdDateTime, determination, lastUpdateDateTime, severity y status.

Use @odata.nextLink para la paginación.

A continuación se muestran ejemplos de su uso:

GET /security/incidents?$count=true
GET /security/incidents?$filter={property}+eq+'{property-value}'
GET /security/incidents?$top=10

Para obtener información general, vea Parámetros de consulta OData.

Encabezados de solicitud

Nombre	Descripción
Authorization	{token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización.

Cuerpo de la solicitud

No proporcione un cuerpo de solicitud para este método.

Respuesta

Si se ejecuta correctamente, este método devuelve un 200 OK código de respuesta y una colección de objetos de incidente en el cuerpo de la respuesta.

Ejemplos

Ejemplo 1: Enumerar todos los incidentes

Solicitud

En el ejemplo siguiente se muestra la solicitud.

GET https://graph.microsoft.com/beta/security/incidents


// Code snippets are only available for the latest version. Current version is 5.x

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Security.Incidents.GetAsync();

Importante

Los SDK de Microsoft Graph usan la versión v1.0 de la API de manera predeterminada y no admiten todos los tipos, propiedades y API disponibles en la versión beta. Para obtener más información sobre cómo acceder a la API beta con el SDK, consulte Uso de los SDK de Microsoft Graph con la API beta.

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


// THE CLI IS IN PREVIEW. NON-PRODUCTION USE ONLY
mgc-beta security incidents list

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.



import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-beta-sdk-go"
	  //other-imports
)

graphClient := msgraphsdk.NewGraphServiceClientWithCredentials(cred, scopes)



incidents, err := graphClient.Security().Incidents().Get(context.Background(), nil)

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

com.microsoft.graph.models.security.IncidentCollectionResponse result = graphClient.security().incidents().get();

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


const options = {
	authProvider,
};

const client = Client.init(options);

let incidents = await client.api('/security/incidents')
	.version('beta')
	.get();

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


<?php
use Microsoft\Graph\GraphServiceClient;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);


$result = $graphServiceClient->security()->incidents()->get()->wait();

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


Import-Module Microsoft.Graph.Beta.Security

Get-MgBetaSecurityIncident

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


from msgraph import GraphServiceClient

graph_client = GraphServiceClient(credentials, scopes)


result = await graph_client.security.incidents.get()

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.

Respuesta

En el ejemplo siguiente se muestra la respuesta.

Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "value": [
    {
        "@odata.type": "#microsoft.graph.security.incident",
        "id": "2972395",
        "incidentWebUrl": "https://security.microsoft.com/incidents/2972395?tid=12f988bf-16f1-11af-11ab-1d7cd011db47",
        "redirectIncidentId": null,
        "tenantId": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
        "displayName": "Multi-stage incident involving Initial access & Command and control on multiple endpoints reported by multiple sources",
        "createdDateTime": "2021-08-13T08:43:35.5533333Z",
        "lastUpdateDateTime": "2021-09-30T09:35:45.1133333Z",
        "assignedTo": "KaiC@contoso.com",
        "classification": "TruePositive",
        "determination": "MultiStagedAttack",
        "status": "Active",
        "severity": "Medium",
        "customTags": [
          "Demo"
        ],
        "comments": [
          {
		        "comment": "Demo incident",
		        "createdBy": "DavidS@contoso.com",
		        "createdTime": "2021-09-30T12:07:37.2756993Z"
          }
        ],
        "systemTags" : [
            "Defender Experts"
        ],
        "description" : "Microsoft observed Raspberry Robin worm activity spreading through infected USB on multiple devices in your environment. From available intel, these infections could be a potential precursor activity to ransomware deployment. ...",
        "recommendedActions" : "Immediate Recommendations: 1.    Block untrusted and unsigned processes that run from USB (ASR Rule) 2.    Verify if the ASR rule is turned on for the devices and evaluate whether the ASR . ...",
        "recommendedHuntingQueries" : [
            {
                "@odata.type": "#microsoft.graph.security.recommendedHuntingQuery",
                "kqlText" : "AlertInfo   | where Timestamp >= datetime(2022-10-20 06:00:52.9644915)   | where Title == 'Potential Raspberry Robin worm command'  | join AlertEvidence on AlertId   | distinct DeviceId"
            }
        ]
    }
  ]
}

Ejemplo 2: Enumerar todos los incidentes con sus alertas

Solicitud

En el ejemplo siguiente se muestra la solicitud.

GET https://graph.microsoft.com/beta/security/incidents?$expand=alerts


// Code snippets are only available for the latest version. Current version is 5.x

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Security.Incidents.GetAsync((requestConfiguration) =>
{
	requestConfiguration.QueryParameters.Expand = new string []{ "alerts" };
});

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


// THE CLI IS IN PREVIEW. NON-PRODUCTION USE ONLY
mgc-beta security incidents list --expand "alerts"

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.



import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-beta-sdk-go"
	  graphsecurity "github.com/microsoftgraph/msgraph-beta-sdk-go/security"
	  //other-imports
)

graphClient := msgraphsdk.NewGraphServiceClientWithCredentials(cred, scopes)


requestParameters := &graphsecurity.SecurityIncidentsRequestBuilderGetQueryParameters{
	Expand: [] string {"alerts"},
}
configuration := &graphsecurity.SecurityIncidentsRequestBuilderGetRequestConfiguration{
	QueryParameters: requestParameters,
}

incidents, err := graphClient.Security().Incidents().Get(context.Background(), configuration)

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

com.microsoft.graph.models.security.IncidentCollectionResponse result = graphClient.security().incidents().get(requestConfiguration -> {
	requestConfiguration.queryParameters.expand = new String []{"alerts"};
});

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


const options = {
	authProvider,
};

const client = Client.init(options);

let incidents = await client.api('/security/incidents')
	.version('beta')
	.expand('alerts')
	.get();

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


<?php
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Security\Incidents\IncidentsRequestBuilderGetRequestConfiguration;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestConfiguration = new IncidentsRequestBuilderGetRequestConfiguration();
$queryParameters = IncidentsRequestBuilderGetRequestConfiguration::createQueryParameters();
$queryParameters->expand = ["alerts"];
$requestConfiguration->queryParameters = $queryParameters;


$result = $graphServiceClient->security()->incidents()->get($requestConfiguration)->wait();

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


Import-Module Microsoft.Graph.Beta.Security

Get-MgBetaSecurityIncident -ExpandProperty "alerts"

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.


from msgraph import GraphServiceClient
from msgraph.generated.security.incidents.incidents_request_builder import IncidentsRequestBuilder

graph_client = GraphServiceClient(credentials, scopes)

query_params = IncidentsRequestBuilder.IncidentsRequestBuilderGetQueryParameters(
		expand = ["alerts"],
)

request_configuration = IncidentsRequestBuilder.IncidentsRequestBuilderGetRequestConfiguration(
query_parameters = query_params,
)

result = await graph_client.security.incidents.get(request_configuration = request_configuration)

Importante

Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.

Respuesta

En el ejemplo siguiente se muestra la respuesta.

Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "value": [
    {
        "@odata.type": "#microsoft.graph.security.incident",
        "id": "2972395",
        "incidentWebUrl": "https://security.microsoft.com/incidents/2972395?tid=12f988bf-16f1-11af-11ab-1d7cd011db47",
        "redirectIncidentId": null,
        "tenantId": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
        "displayName": "Multi-stage incident involving Initial access & Command and control on multiple endpoints reported by multiple sources",
        "createdDateTime": "2021-08-13T08:43:35.5533333Z",
        "lastUpdateDateTime": "2021-09-30T09:35:45.1133333Z",
        "assignedTo": "KaiC@contoso.com",
        "classification": "truePositive",
        "determination": "multiStagedAttack",
        "status": "active",
        "severity": "medium",
        "tags": [
          "Demo"
        ],
        "comments": [
          {
		        "comment": "Demo incident",
		        "createdBy": "DavidS@contoso.com",
		        "createdTime": "2021-09-30T12:07:37.2756993Z"
          }
        ],
        "systemTags" : [
            "Defender Experts"
        ],
        "description" : "Microsoft observed Raspberry Robin worm activity spreading through infected USB on multiple devices in your environment. From available intel, these infections could be a potential precursor activity to ransomware deployment. ...",
        "recommendedActions" : "Immediate Recommendations:  1.    Block untrusted and unsigned processes that run from USB (ASR Rule) 2.    Verify if the ASR rule is turned on for the devices and evaluate whether the ASR . ...",
        "recommendedHuntingQueries" : [
            {
                "@odata.type": "#microsoft.graph.security.recommendedHuntingQuery",
                "kqlText" : "//Run this query to identify the devices having Raspberry Robin worm alerts  AlertInfo   | where Timestamp >= datetime(2022-10-20 06:00:52.9644915)   | where Title == 'Potential Raspberry Robin worm command'  | join AlertEvidence on AlertId   | distinct DeviceId"
            }
        ],
        "alerts": [
            {
                "@odata.type": "#microsoft.graph.security.alert",
                "id": "da637551227677560813_-961444813",
                "providerAlertId": "da637551227677560813_-961444813",
                "incidentId": "28282",
                "status": "new",
                "severity": "low",
                "classification": "unknown",
                "determination": "unknown",
                "serviceSource": "microsoftDefenderForEndpoint",
                "detectionSource": "antivirus",
                "detectorId": "e0da400f-affd-43ef-b1d5-afc2eb6f2756",
                "tenantId": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
                "title": "Suspicious execution of hidden file",
                "description": "A hidden file has been launched. This activity could indicate a compromised host. Attackers often hide files associated with malicious tools to evade file system inspection and defenses.",
                "recommendedActions": "Collect artifacts and determine scope\n�\tReview the machine timeline for suspicious activities that may have occurred before and after the time of the alert, and record additional related artifacts (files, IPs/URLs) \n�\tLook for the presence of relevant artifacts on other systems. Identify commonalities and differences between potentially compromised systems.\n�\tSubmit relevant files for deep analysis and review resulting detailed behavioral information.\n�\tSubmit undetected files to the MMPC malware portal\n\nInitiate containment & mitigation \n�\tContact the user to verify intent and initiate local remediation actions as needed.\n�\tUpdate AV signatures and run a full scan. The scan might reveal and remove previously-undetected malware components.\n�\tEnsure that the machine has the latest security updates. In particular, ensure that you have installed the latest software, web browser, and Operating System versions.\n�\tIf credential theft is suspected, reset all relevant users passwords.\n�\tBlock communication with relevant URLs or IPs at the organization�s perimeter.",
                "category": "DefenseEvasion",
                "assignedTo": null,
                "alertWebUrl": "https://security.microsoft.com/alerts/da637551227677560813_-961444813?tid=b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
                "incidentWebUrl": "https://security.microsoft.com/incidents/28282?tid=b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
                "actorDisplayName": null,
                "threatDisplayName": null,
                "threatFamilyName": null,
                "mitreTechniques": [
                    "T1564.001"
                ],
                "createdDateTime": "2021-04-27T12:19:27.7211305Z",
                "lastUpdateDateTime": "2021-05-02T14:19:01.3266667Z",
                "resolvedDateTime": null,
                "firstActivityDateTime": "2021-04-26T07:45:50.116Z",
                "lastActivityDateTime": "2021-05-02T07:56:58.222Z",
                "comments": [],
                "evidence": [
                    {
                        "@odata.type": "#microsoft.graph.security.deviceEvidence",
                        "createdDateTime": "2021-04-27T12:19:27.7211305Z",
                        "verdict": "unknown",
                        "remediationStatus": "none",
                        "remediationStatusDetails": null,
                        "firstSeenDateTime": "2020-09-12T07:28:32.4321753Z",
                        "mdeDeviceId": "73e7e2de709dff64ef64b1d0c30e67fab63279db",
                        "azureAdDeviceId": null,
                        "deviceDnsName": "tempDns",
                        "osPlatform": "Windows10",
                        "osBuild": 22424,
                        "version": "Other",
                        "healthStatus": "active",
                        "riskScore": "medium",
                        "rbacGroupId": 75,
                        "rbacGroupName": "UnassignedGroup",
                        "onboardingStatus": "onboarded",
                        "defenderAvStatus": "unknown",
                        "ipInterfaces": [
                            "1.1.1.1"
                        ],
                        "loggedOnUsers": [],
                        "roles": [
                            "compromised"
                        ],
                        "detailedRoles": [
                          "Main device"
                        ],
                        "tags": [
                            "Test Machine"
                        ],
                        "vmMetadata": {
                            "vmId": "ca1b0d41-5a3b-4d95-b48b-f220aed11d78",
                            "cloudProvider": "azure",
                            "resourceId": "/subscriptions/8700d3a3-3bb7-4fbe-a090-488a1ad04161/resourceGroups/WdatpApi-EUS-STG/providers/Microsoft.Compute/virtualMachines/NirLaviTests",
                            "subscriptionId": "8700d3a3-3bb7-4fbe-a090-488a1ad04161"
	                    }
                    },
                    {
                        "@odata.type": "#microsoft.graph.security.fileEvidence",
                        "createdDateTime": "2021-04-27T12:19:27.7211305Z",
                        "verdict": "unknown",
                        "remediationStatus": "none",
                        "remediationStatusDetails": null,
                        "detectionStatus": "detected",
                        "mdeDeviceId": "73e7e2de709dff64ef64b1d0c30e67fab63279db",
                        "roles": [],
                        "detailedRoles": [
                          "Referred in command line",
                        ],
                        "tags": [],
                        "fileDetails": {
                            "sha1": "5f1e8acedc065031aad553b710838eb366cfee9a",
                            "sha256": "8963a19fb992ad9a76576c5638fd68292cffb9aaac29eb8285f9abf6196a7dec",
                            "fileName": "MsSense.exe",
                            "filePath": "C:\\Program Files\\temp",
                            "fileSize": 6136392,
                            "filePublisher": "Microsoft Corporation",
                            "signer": null,
                            "issuer": null
                        }
                    },
                    {
                        "@odata.type": "#microsoft.graph.security.processEvidence",
                        "createdDateTime": "2021-04-27T12:19:27.7211305Z",
                        "verdict": "unknown",
                        "remediationStatus": "none",
                        "remediationStatusDetails": null,
                        "processId": 4780,
                        "parentProcessId": 668,
                        "processCommandLine": "\"MsSense.exe\"",
                        "processCreationDateTime": "2021-08-12T12:43:19.0772577Z",
                        "parentProcessCreationDateTime": "2021-08-12T07:39:09.0909239Z",
                        "detectionStatus": "detected",
                        "mdeDeviceId": "73e7e2de709dff64ef64b1d0c30e67fab63279db",
                        "roles": [],
                        "detailedRoles": [],
                        "tags": [],
                        "imageFile": {
                            "sha1": "5f1e8acedc065031aad553b710838eb366cfee9a",
                            "sha256": "8963a19fb992ad9a76576c5638fd68292cffb9aaac29eb8285f9abf6196a7dec",
                            "fileName": "MsSense.exe",
                            "filePath": "C:\\Program Files\\temp",
                            "fileSize": 6136392,
                            "filePublisher": "Microsoft Corporation",
                            "signer": null,
                            "issuer": null
                        },
                        "parentProcessImageFile": {
                            "sha1": null,
                            "sha256": null,
                            "fileName": "services.exe",
                            "filePath": "C:\\Windows\\System32",
                            "fileSize": 731744,
                            "filePublisher": "Microsoft Corporation",
                            "signer": null,
                            "issuer": null
                        },
                        "userAccount": {
                            "accountName": "SYSTEM",
                            "domainName": "NT AUTHORITY",
                            "userSid": "S-1-5-18",
                            "azureAdUserId": null,
                            "userPrincipalName": null
                        }
                    },
                    {
                        "@odata.type": "#microsoft.graph.security.registryKeyEvidence",
                        "createdDateTime": "2021-04-27T12:19:27.7211305Z",
                        "verdict": "unknown",
                        "remediationStatus": "none",
                        "remediationStatusDetails": null,
                        "registryKey": "SYSTEM\\CONTROLSET001\\CONTROL\\WMI\\AUTOLOGGER\\SENSEAUDITLOGGER",
                        "registryHive": "HKEY_LOCAL_MACHINE",
                        "roles": [],
                        "detailedRoles": [],
                        "tags": [],
                    }
                ]
            }
        ]
    }
  ]
}

Lista de Incidentes

Permissions

Solicitud HTTP

Parámetros de consulta opcionales

Encabezados de solicitud

Cuerpo de la solicitud

Respuesta

Ejemplos

Ejemplo 1: Enumerar todos los incidentes

Solicitud

Respuesta

Ejemplo 2: Enumerar todos los incidentes con sus alertas

Solicitud

Respuesta

Comentarios

Comentarios

Recursos adicionales