Partager via


Type de ressource alertEvidence

Espace de noms : microsoft.graph.security

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Représente une preuve liée à une alerte.

Le type de base alertEvidence et ses types de preuves dérivés fournissent un moyen d’organiser et de suivre des données enrichies sur chaque artefact impliqué dans une alerte. Par exemple, une alerte concernant l’adresse IP d’un attaquant se connectant à un service cloud à l’aide d’un compte d’utilisateur compromis peut suivre les preuves suivantes :

Cette ressource est le type de base pour les types de preuves suivants :

Propriétés

Propriété Type Description
createdDateTime DateTimeOffset Date et heure auxquelles la preuve a été créée et ajoutée à l’alerte. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z.
detailedRoles String collection Description détaillée du ou des rôles d’entité dans une alerte. Les valeurs sont de forme libre.
remediationStatus microsoft.graph.security.evidenceRemediationStatus État de l’action de correction effectuée. Les valeurs possibles sont none, remediated, prevented, blocked, notFound, unknownFutureValue.
remediationStatusDetails Chaîne Détails sur l’état de la correction.
rôles collection microsoft.graph.security.evidenceRole Le ou les rôles qu’une entité de preuve représente dans une alerte, par exemple, une adresse IP associée à un attaquant a le rôle de preuve Attaquant.
étiquettes String collection Tableau d’étiquettes personnalisées associées à une instance de preuve, par exemple, pour désigner un groupe d’appareils, des ressources de valeur élevée, etc.
Verdict microsoft.graph.security.evidenceVerdict Décision prise par une enquête automatisée. Les valeurs possibles sont : unknown, suspicious, malicious, noThreatsFound, unknownFutureValue.

valeurs detectionSource

Valeur Description
Détecté Un produit de la menace exécutée a été détecté.
Bloqué La menace a été corrigée au moment de l’exécution.
Empêché La menace n’a pas pu se produire (exécution, téléchargement, etc.).
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

Valeurs evidenceRemediationStatus

Member Description
none Aucune menace n’a été trouvée.
corrigé L’action de correction s’est terminée avec succès.
Empêché L’exécution de la menace a été empêchée.
Bloqué La menace a été bloquée lors de l’exécution.
Notfound La preuve n’a pas été trouvée.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

Valeurs evidenceRole

Member Description
unknown Le rôle de preuve est inconnu.
Contextuelle Une entité qui est apparue probablement sans gravité, mais qui a été signalée comme un effet secondaire de l’action d’un attaquant, par exemple, le processus de services.exe sans gravité a été utilisé pour démarrer un service malveillant.
Scanné Entité identifiée comme cible d’une analyse de découverte ou d’actions de reconnaissance, par exemple, un scanneur de ports a été utilisé pour analyser un réseau.
source Entité dont l’activité provient, par exemple, appareil, utilisateur, adresse IP, etc.
Destination Entité à laquelle l’activité a été envoyée, par exemple, appareil, utilisateur, adresse IP, etc.
créé L’entité a été créée à la suite des actions d’un attaquant, par exemple, un compte d’utilisateur a été créé.
ajouté L’entité a été ajoutée à la suite des actions d’un attaquant. Par exemple, un compte d’utilisateur a été ajouté à un groupe d’autorisations.
Compromis L’entité a été compromise et est sous le contrôle d’un attaquant. Par exemple, un compte d’utilisateur a été compromis et utilisé pour se connecter à un service cloud.
modifié L’entité a été modifiée ou modifiée par un attaquant. Par exemple, la clé de Registre d’un service a été modifiée pour pointer vers l’emplacement d’une nouvelle charge utile malveillante.
Attaqué L’entité a été attaquée. Par exemple, un appareil a été ciblé par une attaque DDoS.
Attaquant L’entité représente l’attaquant. Par exemple, l’adresse IP de l’attaquant a observé la connexion à un service cloud à l’aide d’un compte d’utilisateur compromis.
commandAndControl L’entité est utilisée pour la commande et le contrôle. Par exemple, un domaine C2 (commande et contrôle) utilisé par un programme malveillant.
Chargé L’entité a été chargée par un processus sous le contrôle d’un attaquant. Par exemple, une dll a été chargée dans un processus contrôlé par un attaquant.
Suspect L’entité est soupçonnée d’être malveillante ou contrôlée par un attaquant, mais elle n’a pas été incriminée.
policyViolator L’entité est un contrevenant d’une stratégie définie par le client.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

Valeurs evidenceRemediationStatus

Member Description
unknown Aucun verdict n’a été rendu pour la preuve.
Suspect Actions de correction recommandées en attente d’approbation.
Malveillants La preuve a été jugée malveillante.
Propre Aucune menace n’a été détectée - la preuve est sans gravité.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

Valeurs evidenceVerdict

Member Description
unknown Aucun verdict n’a été rendu pour la preuve.
Suspect Actions de correction recommandées en attente d’approbation.
Malveillants La preuve a été jugée malveillante.
noThreatsFound Aucune menace n’a été détectée - la preuve est sans gravité.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

Relations

Aucun.

Représentation JSON

La représentation JSON suivante montre le type de ressource.

{
  "@odata.type": "#microsoft.graph.security.alertEvidence",
  "createdDateTime": "String (timestamp)",
  "verdict": "String",
  "remediationStatus": "String",
  "remediationStatusDetails": "String",
  "roles": [
    "String"
  ],
  "detailedRoles": [
    "String"
  ],
  "tags": [
    "String"
  ]
}