type de ressource alerte
Espace de noms : microsoft.graph.security
Cette ressource correspond au dernier lot d’alertes généré par l’API de sécurité Microsoft Graph. Cette ressource représente les problèmes de sécurité potentiels au sein du locataire d’un client identifié par Microsoft 365 Defender ou un fournisseur de sécurité intégré à Microsoft 365 Defender.
Lorsqu’un fournisseur de sécurité détecte une menace, il crée une alerte dans le système. Microsoft 365 Defender extrait ces données d’alerte du fournisseur de sécurité et consomme les données d’alerte pour retourner des indices précieux dans une ressource d’alerte sur toute attaque associée, les ressources impactées et les preuves associées. Il met automatiquement en corrélation d’autres alertes avec les mêmes techniques d’attaque ou le même attaquant dans un incident pour fournir un contexte plus large d’une attaque. Ce regroupement d’alertes permet plus facilement aux analystes d’étudier les menaces collectivement et d’y répondre.
Remarque
Cette ressource est l’un des deux types d’alertes qu’offre la version v1.0 de l’API de sécurité Microsoft Graph. Pour plus d’informations, consultez alertes.
Méthodes
| Méthode | Type de retour | Description |
|---|---|---|
| Lister les alerts_v2 | collection microsoft.graph.security.alert | Obtenez la liste des ressources d’alerte créées pour suivre les activités suspectes dans un organization. |
| Obtenir une alerte | microsoft.graph.security.alert | Obtient les propriétés d’un objet d’alerte dans un organization en fonction de la propriété ID d’alerte spécifiée. |
| Mettre à jour une alerte | microsoft.graph.security.alert | Mettez à jour les propriétés d’un objet d’alerte dans un organization en fonction de la propriété ID d’alerte spécifiée. |
| Créer un commentaire pour l’alerte | alertComment | Créez un commentaire pour une alerte existante en fonction de la propriété ID d’alerte spécifiée. |
Propriétés
| Propriété | Type | Description | ||||
|---|---|---|---|---|---|---|
| actorDisplayName | Chaîne | Adversaire ou groupe d’activités associé à cette alerte. | ||||
| additionalData | microsoft.graph.security.dictionary | Collection d’autres propriétés d’alerte, y compris les propriétés définies par l’utilisateur. Tous les détails personnalisés définis dans l’alerte et tout contenu dynamique dans les détails de l’alerte sont stockés ici. | alertWebUrl | Chaîne | URL de la page d’alerte du portail Microsoft 365 Defender. | |
| alertPolicyId | Chaîne | ID de la stratégie qui a généré l’alerte et renseigné lorsqu’une stratégie spécifique a généré l’alerte, qu’elle soit configurée par un client ou une stratégie intégrée. | ||||
| assignedTo | Chaîne | Propriétaire de l’alerte, ou null si aucun propriétaire n’est affecté. | ||||
| category | String | Catégorie de kill-chain d’attaque à laquelle appartient l’alerte. Aligné avec l’infrastructure MITRE ATT&CK. | ||||
| classification | microsoft.graph.security.alertClassification | Spécifie si l’alerte représente une véritable menace. Les valeurs possibles sont les suivantes : unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
||||
| commentaires | collection microsoft.graph.security.alertComment | Tableau de commentaires créé par l’équipe Des opérations de sécurité (SecOps) pendant le processus de gestion des alertes. | ||||
| createdDateTime | DateTimeOffset | Heure à laquelle Microsoft 365 Defender a créé l’alerte. | ||||
| description | Chaîne | Valeur de chaîne décrivant chaque alerte. | ||||
| detectionSource | microsoft.graph.security.detectionSource | Technologie de détection ou capteur qui a identifié le composant ou l’activité notable. Les valeurs possibles sont , unknownmicrosoftDefenderForEndpoint, antivirus, smartScreen, customTimicrosoftDefenderForOffice365, microsoftDefenderForIdentitycustomDetectionautomatedInvestigationmicrosoftThreatExperts, appGovernanceDetectionmanualunknownFutureValueazureAdIdentityProtectionmicrosoftDataLossPreventionappGovernancePolicymicrosoft365DefendercloudAppSecurity, microsoftDefenderForIoTmicrosoftDefenderForCloud, . builtInMlmicrosoftDefenderForServersmicrosoftDefenderForStoragemicrosoftDefenderForDNSmicrosoftDefenderForDatabasesmicrosoftDefenderForContainersmicrosoftDefenderForNetworkmicrosoftDefenderForAppServicemicrosoftDefenderForKeyVaultmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalytics Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : microsoftDefenderForCloud, microsoftDefenderForIoT, microsoftDefenderForServers, microsoftDefenderForDNSmicrosoftDefenderForNetworkmicrosoftDefenderForStoragemicrosoftDefenderForContainersmicrosoftDefenderForDatabases, microsoftDefenderForAppService, , . builtInMlmicrosoftDefenderForKeyVaultmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalytics |
||||
| detectorId | Chaîne | ID du détecteur qui a déclenché l’alerte. | ||||
| Détermination | microsoft.graph.security.alertDetermination | Spécifie le résultat de l’examen, si l’alerte représente une véritable attaque et, le cas échéant, la nature de l’attaque. Les valeurs possibles sont les suivantes : unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication et unknownFutureValue. |
||||
| Preuve | collection microsoft.graph.security.alertEvidence | Collection de preuves liées à l’alerte. | ||||
| firstActivityDateTime | DateTimeOffset | Activité la plus ancienne associée à l’alerte. | ||||
| id | Chaîne | Identificateur unique pour représenter la ressource d’alerte . | ||||
| incidentId | Chaîne | Identificateur unique pour représenter l’incident à laquelle cette ressource d’alerte est associée. | ||||
| incidentWebUrl | Chaîne | URL de la page d’incident dans le portail Microsoft 365 Defender. | ||||
| lastActivityDateTime | DateTimeOffset | Activité la plus ancienne associée à l’alerte. | ||||
| lastUpdateDateTime | DateTimeOffset | Heure de la dernière mise à jour de l’alerte sur Microsoft 365 Defender. | ||||
| mitreTechniques | Collection(Edm.String) | Les techniques d’attaque, telles qu’alignées avec le framework MITRE ATT&CK. | ||||
| providerAlertId | Chaîne | ID de l’alerte tel qu’il apparaît dans le produit du fournisseur de sécurité qui a généré l’alerte. | ||||
| recommendedActions | Chaîne | Actions de réponse et de correction recommandées à prendre dans le cas où cette alerte a été générée. | ||||
| resolvedDateTime | DateTimeOffset | Heure à laquelle l’alerte a été résolue. | ||||
| serviceSource | microsoft.graph.security.serviceSource | Service ou produit qui a créé cette alerte. Les valeurs possibles sont les suivantes : unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud et microsoftSentinel. Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : microsoftDefenderForCloud, microsoftSentinel. |
||||
| Sévérité | microsoft.graph.security.alertSeverity | Indique l’impact possible sur les ressources. Plus la gravité est élevée, plus l’impact est important. En règle générale, les éléments de gravité plus élevés nécessitent l’attention la plus immédiate. Les valeurs possibles sont unknown, informational, low, medium, high, unknownFutureValue. |
||||
| status | microsoft.graph.security.alertStatus | Status de l’alerte. Les valeurs possibles sont les suivantes : new, inProgress, resolved, unknownFutureValue. |
||||
| tenantId | Chaîne | Locataire Microsoft Entra dans lequel l’alerte a été créée. | ||||
| threatDisplayName | Chaîne | Menace associée à cette alerte. | ||||
| threatFamilyName | Chaîne | Famille de menaces associée à cette alerte. | ||||
| title | Chaîne | Brève valeur de chaîne d’identification décrivant l’alerte. | ||||
| systemTags | String collection | Balises système associées à l’alerte. |
valeurs alertClassification
| Member | Description |
|---|---|
| unknown | L’alerte n’est pas encore classifiée. |
| falsePositive | L’alerte est un faux positif qui n’a pas détecté d’activité malveillante. |
| truePositive | L’alerte est vraiment positive et a détecté une activité malveillante. |
| informationalExpectedActivity | L’alerte est positive sans gravité et a détecté une activité potentiellement malveillante par un utilisateur de confiance/interne, par exemple, des tests de sécurité. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
valeurs alertDetermination
| Member | Description |
|---|---|
| unknown | Aucune valeur de détermination n’a encore été définie. |
| Apt | Une véritable alerte positive qui a détecté une menace persistante avancée. |
| programme malveillant | Une véritable alerte positive qui a détecté des logiciels malveillants. |
| securityPersonnel | Une véritable alerte positive qui a détecté une activité suspecte valide effectuée par une personne de l’équipe de sécurité du client. |
| securityTesting | L’alerte a détecté une activité suspecte valide qui a été effectuée dans le cadre d’un test de sécurité connu. |
| unwantedSoftware | L’alerte a détecté des logiciels indésirables. |
| multiStagedAttack | Une véritable alerte positive qui a détecté plusieurs étapes d’attaque de chaîne de destruction. |
| compromisedAccount | Une véritable alerte positive qui a détecté que les informations d’identification de l’utilisateur prévu ont été compromises ou volées. |
| hameçonnage | Une véritable alerte positive qui a détecté un e-mail de hameçonnage. |
| maliciousUserActivity | Une véritable alerte positive qui a détecté que l’utilisateur connecté effectue des activités malveillantes. |
| notMalicious | Une fausse alerte, aucune activité suspecte. |
| notEnoughDataToValidate | Une fausse alerte, sans suffisamment d’informations pour prouver le contraire. |
| confirmActivity | L’alerte a détecté une activité suspecte réelle qui est considérée comme OK, car il s’agit d’une activité utilisateur connue. |
| lineOfBusinessApplication | L’alerte a détecté une activité suspecte réelle qui est considérée comme OK, car il s’agit d’une application interne connue et confirmée. |
| Autres | Autre détermination. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
valeurs alertSeverity
| Member | Description |
|---|---|
| unknown | Gravité inconnue. |
| Information | Les alertes qui peuvent ne pas être actionnables ou considérées comme dangereuses pour le réseau, mais qui peuvent favoriser la sensibilisation de l’organisation à la sécurité sur les problèmes de sécurité potentiels. |
| Faible | Alertes sur les menaces associées à des programmes malveillants répandus. Par exemple, les outils de piratage, les outils de piratage non-programme malveillant, tels que l’exécution de commandes d’exploration et l’effacement des journaux, qui n’indiquent souvent pas une menace avancée ciblant le organization. Il peut également provenir d’un outil de sécurité isolé qu’un utilisateur de votre organization teste. |
| medium | Alertes générées à partir de détections et de comportements de réponse post-violation qui peuvent faire partie d’une menace persistante avancée (APT). Ce niveau de gravité inclut les comportements observés typiques des phases d’attaque, les modifications anormales du Registre, l’exécution de fichiers suspects, etc. Bien que certaines puissent être dues à des tests de sécurité internes, il s’agit de détections valides et nécessitent une investigation, car elles peuvent faire partie d’une attaque avancée. |
| Haute | Alertes couramment observées associées aux menaces persistantes avancées (APT). Ces alertes indiquent un risque élevé en raison de la gravité des dommages qu’elles peuvent causer à des biens. Voici quelques exemples : les activités d’outils de vol d’informations d’identification, les activités de ransomware qui ne sont associées à aucun groupe, la falsification des capteurs de sécurité ou toute activité malveillante indiquant un adversaire humain. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs alertStatus
| Member | Description |
|---|---|
| unknown | Status inconnu. |
| Nouveau | Nouvelle alerte. |
| inProgress | L’alerte est en cours d’atténuation. |
| résolu | L’alerte est à l’état résolu. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
valeurs serviceSource
| Valeur | Description |
|---|---|
| unknown | Source de service inconnue. |
| microsoftDefenderForEndpoint | Microsoft Defender pour point de terminaison. |
| microsoftDefenderForIdentity | Microsoft Defender pour l’identité. |
| microsoftDefenderForCloudApps | Microsoft Defender pour Cloud Apps. |
| microsoftDefenderForOffice365 | Microsoft Defender Pour Office365. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Protection Microsoft Entra ID. |
| microsoftAppGovernance | Gouvernance des applications Microsoft. |
| dataLossPrevention | Protection contre la perte de données Microsoft Purview. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
| microsoftDefenderForCloud | Microsoft Defender pour le cloud. |
| microsoftSentinel | Microsoft Sentinel. |
valeurs detectionSource
| Valeur | Description |
|---|---|
| unknown | Source de détection inconnue. |
| microsoftDefenderForEndpoint | Microsoft Defender pour point de terminaison. |
| antivirus | Logiciel antivirus. |
| Smartscreen | Microsoft Defender SmartScreen. |
| customTi | Renseignement sur les menaces personnalisé. |
| microsoftDefenderForOffice365 | Microsoft Defender pour Office 365. |
| automatedInvestigation | Investigation automatisée. |
| microsoftThreatExperts | Experts en menaces Microsoft. |
| customDetection | Détection personnalisée. |
| microsoftDefenderForIdentity | Microsoft Defender pour l’identité. |
| cloudAppSecurity | Sécurité des applications cloud. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Protection Microsoft Entra ID. |
| Manuelle | Détection manuelle. |
| microsoftDataLossPrevention | Protection contre la perte de données Microsoft Purview. |
| appGovernancePolicy | Stratégie de gouvernance des applications. |
| appGovernanceDetection | Détection de la gouvernance des applications. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
| microsoftDefenderForCloud | Microsoft Defender pour le cloud. |
| microsoftDefenderForIoT | Microsoft Defender pour IoT. |
| microsoftDefenderForServers | Microsoft Defender pour les serveurs. |
| microsoftDefenderForStorage | Microsoft Defender pour le stockage. |
| microsoftDefenderForDNS | Microsoft Defender pour DNS. |
| microsoftDefenderForDatabases | Microsoft Defender pour les bases de données. |
| microsoftDefenderForContainers | Microsoft Defender pour les conteneurs. |
| microsoftDefenderForNetwork | Microsoft Defender réseau. |
| microsoftDefenderForAppService | Microsoft Defender pour App Service. |
| microsoftDefenderForKeyVault | Microsoft Defender pour Key Vault. |
| microsoftDefenderForResourceManager | Microsoft Defender pour Resource Manager. |
| microsoftDefenderForApiManagement | Microsoft Defender pour gestion des API. |
| microsoftSentinel | Microsoft Sentinel. |
| nrtAlerts | Alertes NRT Sentinel. |
| scheduledAlerts | Alertes planifiées Sentinel. |
| microsoftDefenderThreatIntelligenceAnalytics | Alertes Sentinel Threat Intelligence. |
| builtInMl | ML intégré à Sentinel. |
Relations
Aucun.
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour