type de ressource alerte
Namespace : microsoft.graph.security
Importante
Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Cette ressource correspond à la dernière génération d’alertes dans l’API de sécurité Microsoft Graph. Il représente des problèmes de sécurité potentiels au sein du locataire d’un client. Ces problèmes sont identifiés par Microsoft 365 Defender ou un fournisseur de sécurité intégré à Microsoft 365 Defender.
Les fournisseurs de sécurité créent une alerte dans le système lorsqu’ils détectent une menace. Microsoft 365 Defender extrait ces données d’alerte du fournisseur de sécurité et consomme les données d’alerte pour retourner des indices précieux dans une ressource d’alerte sur toute attaque associée, les ressources impactées et les preuves associées. Il met automatiquement en corrélation d’autres alertes avec les mêmes techniques d’attaque ou le même attaquant dans un incident pour fournir un contexte plus large d’une attaque. Ce regroupement d’alertes permet plus facilement aux analystes d’étudier les menaces collectivement et d’y répondre.
Remarque
Cette ressource est l’un des deux types d’alertes qu’offre la version bêta de l’API de sécurité Microsoft Graph. Pour plus d’informations, consultez alertes.
Méthodes
| Méthode | Type de retour | Description |
|---|---|---|
| List | collection microsoft.graph.security.alert | Obtenez la liste des ressources d’alerte qui effectuent le suivi des activités suspectes dans une organisation. |
| Obtenir | microsoft.graph.security.alert | Obtient les propriétés d’un objet d’alerte dans une organisation en fonction de la propriété d’ID d’alerte spécifiée. |
| Mettre à jour | microsoft.graph.security.alert | Mettez à jour les propriétés d’un objet d’alerte dans une organisation en fonction de la propriété d’ID d’alerte spécifiée. |
| Créer un commentaire | alertComment | Créez un commentaire pour une alerte existante en fonction de la propriété d’ID d’alerte spécifiée. |
Propriétés
| Propriété | Type | Description |
|---|---|---|
| actorDisplayName | Chaîne | Adversaire ou groupe d’activités associé à cette alerte. |
| additionalData | microsoft.graph.security.dictionary | Collection d’autres propriétés d’alerte, y compris les propriétés définies par l’utilisateur. Tous les détails personnalisés définis dans l’alerte et tout contenu dynamique dans les détails de l’alerte sont stockés ici. |
| alertPolicyId | Chaîne | ID de la stratégie qui a généré l’alerte et renseigné lorsqu’une stratégie spécifique a généré l’alerte, qu’elle soit configurée par un client ou une stratégie intégrée. |
| alertWebUrl | Chaîne | URL de la page d’alerte du portail Microsoft 365 Defender. |
| assignedTo | Chaîne | Propriétaire de l’alerte, ou null si aucun propriétaire n’est affecté. |
| category | String | Catégorie de kill-chain d’attaque à laquelle appartient l’alerte. Aligné avec l’infrastructure MITRE ATT&CK. |
| classification | microsoft.graph.security.alertClassification | Spécifie si l’alerte représente une véritable menace. Les valeurs possibles sont les suivantes : unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| commentaires | collection microsoft.graph.security.alertComment | Tableau de commentaires créé par l’équipe Des opérations de sécurité (SecOps) pendant le processus de gestion des alertes. |
| createdDateTime | DateTimeOffset | Heure à laquelle Microsoft 365 Defender a créé l’alerte. |
| description | Chaîne | Valeur de chaîne décrivant chaque alerte. |
| detectionSource | microsoft.graph.security.detectionSource | Technologie de détection ou capteur qui a identifié le composant ou l’activité notable. Les valeurs possibles sont , unknownmicrosoftDefenderForEndpoint, antivirus, smartScreen, customTimicrosoftDefenderForOffice365, microsoftDefenderForIdentitycustomDetectionautomatedInvestigationmicrosoftThreatExperts, appGovernanceDetectionmanualunknownFutureValueazureAdIdentityProtectionmicrosoftDataLossPreventionappGovernancePolicymicrosoft365DefendercloudAppSecurity, microsoftDefenderForIoTmicrosoftDefenderForCloud, . builtInMlmicrosoftDefenderForServersmicrosoftDefenderForStoragemicrosoftDefenderForDNSmicrosoftDefenderForDatabasesmicrosoftDefenderForContainersmicrosoftDefenderForNetworkmicrosoftDefenderForAppServicemicrosoftDefenderForKeyVaultmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalytics Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : microsoftDefenderForCloud, microsoftDefenderForIoT, microsoftDefenderForServers, microsoftDefenderForDNSmicrosoftDefenderForNetworkmicrosoftDefenderForStoragemicrosoftDefenderForContainersmicrosoftDefenderForDatabases, microsoftDefenderForAppService, , . builtInMlmicrosoftDefenderForKeyVaultmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalytics |
| detectorId | Chaîne | ID du détecteur qui a déclenché l’alerte. |
| productName | Chaîne | Nom du produit qui a publié cette alerte. |
| détermination | microsoft.graph.security.alertDetermination | Spécifie le résultat de l’examen, si l’alerte représente une véritable attaque et, le cas échéant, la nature de l’attaque. Les valeurs possibles sont les suivantes : unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication et unknownFutureValue. |
| preuve | collection microsoft.graph.security.alertEvidence | Collection de preuves liées à l’alerte. |
| firstActivityDateTime | DateTimeOffset | Activité la plus ancienne associée à l’alerte. |
| id | Chaîne | Identificateur unique pour représenter la ressource d’alerte . |
| incidentId | Chaîne | Identificateur unique pour représenter l’incident à laquelle cette ressource d’alerte est associée. |
| incidentWebUrl | Chaîne | URL de la page d’incident dans le portail Microsoft 365 Defender. |
| lastActivityDateTime | DateTimeOffset | Activité la plus ancienne associée à l’alerte. |
| lastUpdateDateTime | DateTimeOffset | Heure de la dernière mise à jour de l’alerte sur Microsoft 365 Defender. |
| mitreTechniques | Collection(Edm.String) | Les techniques d’attaque, telles qu’alignées avec le framework MITRE ATT&CK. |
| providerAlertId | Chaîne | ID de l’alerte tel qu’il apparaît dans le produit du fournisseur de sécurité qui a généré l’alerte. |
| recommendedActions | Chaîne | Actions de réponse et de correction recommandées à prendre dans le cas où cette alerte a été générée. |
| resolvedDateTime | DateTimeOffset | Heure à laquelle l’alerte a été résolue. |
| serviceSource | microsoft.graph.security.serviceSource | Service ou produit qui a créé cette alerte. Les valeurs possibles sont les suivantes : unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud et microsoftSentinel. Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : microsoftDefenderForCloud, microsoftSentinel. |
| Sévérité | microsoft.graph.security.alertSeverity | Indique l’impact possible sur les ressources. Plus la gravité est élevée, plus l’impact est important. En règle générale, les éléments de gravité plus élevés nécessitent l’attention la plus immédiate. Les valeurs possibles sont unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.alertStatus | État de l’alerte. Les valeurs possibles sont les suivantes : new, inProgress, resolved, unknownFutureValue. |
| tenantId | Chaîne | Locataire Microsoft Entra dans lequel l’alerte a été créée. |
| threatDisplayName | Chaîne | Menace associée à cette alerte. |
| threatFamilyName | Chaîne | Famille de menaces associée à cette alerte. |
| title | Chaîne | Brève valeur de chaîne d’identification décrivant l’alerte. |
| systemTags | String collection | Balises système associées à l’alerte. |
valeurs alertClassification
| Member | Description |
|---|---|
| unknown | L’alerte n’est pas encore classifiée. |
| falsePositive | L’alerte est un faux positif qui n’a pas détecté d’activité malveillante. |
| truePositive | L’alerte est vraiment positive et détecte les activités malveillantes. |
| informationalExpectedActivity | L’alerte est positive sans gravité et a détecté une activité potentiellement malveillante par un utilisateur de confiance/interne, par exemple, des tests de sécurité. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
valeurs alertDetermination
| Member | Description |
|---|---|
| unknown | Aucune valeur de détermination n’a encore été définie. |
| apte | Une véritable alerte positive qui a détecté une menace persistante avancée. |
| programme malveillant | Une véritable alerte positive qui détecte les logiciels malveillants. |
| securityPersonnel | Une véritable alerte positive qui a détecté une activité suspecte valide effectuée par une personne de l’équipe de sécurité du client. |
| securityTesting | L’alerte a détecté une activité suspecte valide qui a été effectuée dans le cadre d’un test de sécurité connu. |
| unwantedSoftware | L’alerte a détecté des logiciels indésirables. |
| autre | Autre détermination. |
| multiStagedAttack | Une véritable alerte positive qui a détecté plusieurs étapes d’attaque de chaîne de destruction. |
| compromisedAccount | Une véritable alerte positive qui a détecté que les informations d’identification de l’utilisateur prévu ont été compromises ou volées. |
| hameçonnage | Une véritable alerte positive qui a détecté un e-mail de hameçonnage. |
| maliciousUserActivity | Une véritable alerte positive qui détecte que l’utilisateur connecté effectue des activités malveillantes. |
| notMalicious | Une fausse alerte, aucune activité suspecte. |
| notEnoughDataToValidate | Une fausse alerte, sans suffisamment d’informations pour prouver le contraire. |
| confirmActivity | L’alerte a détecté une activité suspecte réelle qui est considérée comme OK car il s’agit d’une activité utilisateur connue. |
| lineOfBusinessApplication | L’alerte a détecté une activité suspecte qui est considérée comme OK car il s’agit d’une application interne connue et confirmée. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
valeurs alertSeverity
| Member | Description |
|---|---|
| unknown | Gravité inconnue. |
| informationnel | Les alertes qui peuvent ne pas être actionnables ou considérées comme dangereuses pour le réseau, mais qui peuvent favoriser la sensibilisation de l’organisation à la sécurité sur les problèmes de sécurité potentiels. |
| bas | Alertes sur les menaces associées à des programmes malveillants répandus. Par exemple, les outils de piratage et les outils de piratage non malveillants, tels que l’exécution de commandes d’exploration et l’effacement des journaux, qui n’indiquent souvent pas une menace avancée ciblant l’organisation. Il peut également provenir d’un outil de sécurité isolé qu’un utilisateur de votre organisation teste. |
| medium | Alertes générées à partir de détections et de comportements de réponse post-violation qui peuvent faire partie d’une menace persistante avancée (APT). Ces alertes incluent des comportements observés typiques des phases d’attaque, une modification anormale du Registre, l’exécution de fichiers suspects, etc. Bien que certaines puissent être dues à des tests de sécurité internes, il s’agit de détections valides et nécessitent une investigation, car elles peuvent faire partie d’une attaque avancée. |
| haut | Alertes couramment observées associées aux menaces persistantes avancées (APT). Ces alertes indiquent un risque élevé en raison de la gravité des dommages qu’elles peuvent causer à des biens. Voici quelques exemples : les activités d’outils de vol d’informations d’identification, les activités de ransomware qui ne sont associées à aucun groupe, la falsification des capteurs de sécurité ou toute activité malveillante indiquant un adversaire humain. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs alertStatus
| Member | Description |
|---|---|
| unknown | État inconnu. |
| Nouveau | Nouvelle alerte. |
| inProgress | L’alerte est en cours d’atténuation. |
| résolu | L’alerte est dans l’état résolu. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
valeurs serviceSource
| Valeur | Description |
|---|---|
| unknown | Source de service inconnue. |
| microsoftDefenderForEndpoint | Microsoft Defender pour point de terminaison. |
| microsoftDefenderForIdentity | Microsoft Defender pour l’identité. |
| microsoftDefenderForCloudApps | Microsoft Defender pour Cloud Apps. |
| microsoftDefenderForOffice365 | Microsoft Defender pour Office 365. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Microsoft Entra ID Protection. |
| microsoftAppGovernance | Gouvernance des applications Microsoft. |
| dataLossPrevention | Protection contre la perte de données Microsoft Purview. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
| microsoftDefenderForCloud | Microsoft Defender pour le cloud. |
| microsoftSentinel | Microsoft Sentinel. |
valeurs detectionSource
| Valeur | Description |
|---|---|
| unknown | Source de détection inconnue. |
| microsoftDefenderForEndpoint | Microsoft Defender pour point de terminaison. |
| antivirus | Logiciel antivirus. |
| smartScreen | Microsoft Defender SmartScreen. |
| customTi | Renseignement sur les menaces personnalisé. |
| microsoftDefenderForOffice365 | Microsoft Defender pour Office 365. |
| automatedInvestigation | Investigation automatisée. |
| microsoftThreatExperts | Experts en menaces Microsoft. |
| customDetection | Détection personnalisée. |
| microsoftDefenderForIdentity | Microsoft Defender pour l’identité. |
| cloudAppSecurity | Sécurité des applications cloud. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Microsoft Entra ID Protection. |
| Manuelle | Détection manuelle. |
| microsoftDataLossPrevention | Protection contre la perte de données Microsoft Purview. |
| appGovernancePolicy | Stratégie de gouvernance des applications. |
| appGovernanceDetection | Détection de la gouvernance des applications. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
| microsoftDefenderForCloud | Microsoft Defender pour le cloud. |
| microsoftDefenderForIoT | Microsoft Defender pour IoT. |
| microsoftDefenderForServers | Microsoft Defender pour serveurs. |
| microsoftDefenderForStorage | Microsoft Defender pour le stockage. |
| microsoftDefenderForDNS | Microsoft Defender pour DNS. |
| microsoftDefenderForDatabases | Microsoft Defender pour les bases de données. |
| microsoftDefenderForContainers | Microsoft Defender pour conteneurs. |
| microsoftDefenderForNetwork | Microsoft Defender pour le réseau. |
| microsoftDefenderForAppService | Microsoft Defender pour App Service. |
| microsoftDefenderForKeyVault | Microsoft Defender pour Key Vault. |
| microsoftDefenderForResourceManager | Microsoft Defender pour Resource Manager. |
| microsoftDefenderForApiManagement | Microsoft Defender pour la gestion des API. |
| microsoftSentinel | Microsoft Sentinel. |
| nrtAlerts | Alertes NRT Sentinel. |
| scheduledAlerts | Alertes planifiées Sentinel. |
| microsoftDefenderThreatIntelligenceAnalytics | Alertes Sentinel Threat Intelligence. |
| builtInMl | ML intégré à Sentinel. |
Relations
Aucun.
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}