Type de ressource deviceEvidence
Espace de noms : microsoft.graph.security
Appareil signalé dans l’alerte.
Hérite de alertEvidence.
Propriétés
| Propriété | Type | Description |
|---|---|---|
| azureAdDeviceId | Chaîne | Identificateur unique attribué à un appareil par Microsoft Entra ID lorsque l’appareil est Microsoft Entra joint. |
| defenderAvStatus | microsoft.graph.security.defenderAvStatus | État du moteur Defender AntiMalware. Les valeurs possibles sont notReporting, disabled, notUpdated, updated, unknown, notSupported, unknownFutureValue. |
| deviceDnsName | Chaîne | Nom de domaine complet (FQDN) de l’appareil. |
| dnsDomain | Chaîne | Domaine DNS auquel appartient cet ordinateur. Séquence d’étiquettes séparées par des points. |
| firstSeenDateTime | DateTimeOffset | Date et heure auxquelles l’appareil a été vu pour la première fois. |
| healthStatus | microsoft.graph.security.deviceHealthStatus | État d’intégrité de l’appareil. Les valeurs possibles sont active, inactive, impairedCommunication, noSensorData, noSensorDataImpairedCommunication, unknown, unknownFutureValue. |
| hostName | Chaîne | Nom d’hôte sans suffixe de domaine. |
| ipInterfaces | String collection | Interfaces IP de l’appareil pendant l’heure de l’alerte. |
| loggedOnUsers | collection microsoft.graph.security.loggedOnUser | Utilisateurs qui étaient connectés à l’ordinateur au moment de l’alerte. |
| mdeDeviceId | Chaîne | Identificateur unique attribué à un appareil par Microsoft Defender pour point de terminaison. |
| ntDomain | Chaîne | Regroupement logique d’ordinateurs au sein d’un réseau Microsoft Windows. |
| onboardingStatus | microsoft.graph.security.onboardingStatus | Status de l’intégration de la machine à Microsoft Defender pour point de terminaison. Les valeurs possibles sont : insufficientInfo, onboarded, canBeOnboarded, unsupported, unknownFutureValue. |
| osBuild | Int64 | Version de build du système d’exploitation exécuté par l’appareil. |
| osPlatform | Chaîne | Plateforme du système d’exploitation exécutée par l’appareil. |
| rbacGroupId | Int32 | ID du groupe d’appareils de contrôle d’accès en fonction du rôle (RBAC). |
| rbacGroupName | Chaîne | Nom du groupe d’appareils RBAC. |
| riskScore | microsoft.graph.security.deviceRiskScore | Score de risque évalué par Microsoft Defender pour point de terminaison. Les valeurs possibles sont none, informational, low, medium, high, unknownFutureValue. |
| version | Chaîne | Version de la plateforme du système d’exploitation. |
| vmMetadata | microsoft.graph.security.vmMetadata | Métadonnées de la machine virtuelle sur laquelle Microsoft Defender pour point de terminaison est en cours d’exécution. |
Valeurs defenderAvStatus
| Member | Description |
|---|---|
| notReporting | Le moteur Defender AntiMalware ne signale pas. |
| désactivé | Le moteur Defender AntiMalware a été désactivé. |
| notUpdated | Le moteur Defender AntiMalware n’est pas à jour. |
| Actualisé | Le moteur Defender AntiMalware est à jour. |
| unknown | L’état du moteur Defender AntiMalware est inconnu. |
| notSupported | Le moteur Defender AntiMalware n’est pas pris en charge sur cette plateforme. |
| unknownFutureValue | unknownFutureValue pour le modèle d’énumérations évolutifs. |
Valeurs deviceHealthStatus
| Member | Description |
|---|---|
| actif | L’appareil est actif et signale à tous les canaux. |
| inactif | L’appareil ne signale aucun canal. |
| impairedCommunication | L’appareil n’est pas connecté au CnC. |
| noSensorData | L’appareil n’envoie pas de données de télémétrie. |
| noSensorDataImpairedCommunication | L’appareil n’est pas connecté au CnC et n’envoie pas de données de télémétrie. |
| unknown | L’état de l’appareil est inconnu |
| unknownFutureValue | unknownFutureValue pour le modèle d’énumérations évolutifs. |
valeurs deviceRiskScore
| Member | Description |
|---|---|
| none | Il n’y a aucune alerte liée à cet appareil. |
| informationnel | L’appareil a uniquement des alertes de niveau « informationnel ». |
| bas | L’appareil a uniquement des alertes « faible » ou « informationnelle ». |
| medium | L’appareil a des alertes de gravité « moyenne » ou inférieure. |
| haut | L’appareil présente des alertes de gravité « élevée » et est exposé à un risque. |
| unknownFutureValue | unknownFutureValue pour le modèle d’énumérations évolutifs. |
Valeurs onboardingStatus
| Member | Description |
|---|---|
| unknown | Status d’intégration inconnue |
| insufficientInfo | L’intégration status ne peut pas être déterminée. |
| intégré | L’appareil est intégré au service. |
| canBeOnboarded | L’appareil peut être intégré au service. |
| Unsupported | L’appareil n’est pas pris en charge par le service. |
| unknownFutureValue | unknownFutureValue pour le modèle d’énumérations évolutifs. |
Relations
Aucun.
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"@odata.type": "#microsoft.graph.security.deviceEvidence",
"azureAdDeviceId": "String",
"createdDateTime": "String (timestamp)",
"defenderAvStatus": "String",
"detailedRoles": ["String"],
"deviceDnsName": "String",
"dnsDomain": "String",
"firstSeenDateTime": "String (timestamp)",
"healthStatus": "String",
"hostName": "String",
"ipInterfaces": ["String"],
"loggedOnUsers": [{"@odata.type": "microsoft.graph.security.loggedOnUser"}],
"mdeDeviceId": "String",
"ntDomain": "String",
"onboardingStatus": "String",
"osBuild": "Int64",
"osPlatform": "String",
"rbacGroupId": "Int32",
"rbacGroupName": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"riskScore": "String",
"roles": ["String"],
"tags": ["String"],
"verdict": "String",
"version": "String",
"vmMetadata": {"@odata.type": "microsoft.graph.security.vmMetadata"}
}