type de ressource d’incident
Espace de noms : microsoft.graph.security
Un incident dans Microsoft 365 Defender est une collection d’instances d’alerte corrélées et de métadonnées associées qui reflètent l’histoire d’une attaque sur un locataire.
Les services et applications Microsoft 365 créent des alertes lorsqu’ils détectent un événement ou une activité suspect ou malveillant. Les alertes individuelles fournissent des indices précieux sur une attaque terminée ou en cours. Toutefois, les attaques utilisent généralement différentes techniques contre différents types d’entités, comme les appareils, les utilisateurs et les boîtes aux lettres. Le résultat est plusieurs alertes pour plusieurs entités dans votre client. Étant donné que le regroupement des alertes individuelles pour obtenir des insights sur une attaque peut s’avérer difficile et fastidieux, Microsoft 365 Defender agrège automatiquement les alertes et leurs informations associées dans un incident.
Méthodes
| Méthode | Type de retour | Description |
|---|---|---|
| Répertorier les incidents | collection microsoft.graph.security.incident | Obtenez la liste des objets incidents créés par Microsoft 365 Defender pour suivre les attaques dans un organization. |
| Obtenir l’incident | microsoft.graph.security.incident | Lire les propriétés et les relations d’un objet incident . |
| Incident de mise à jour | microsoft.graph.security.incident | Mettez à jour les propriétés d’un objet incident . |
| Créer un commentaire pour l’incident | alertComment | Créez un commentaire pour un incident existant en fonction de la propriété ID d’incident spécifiée. |
Propriétés
| Propriété | Type | Description |
|---|---|---|
| assignedTo | Chaîne | Propriétaire de l’incident, ou null si aucun propriétaire n’est affecté. Texte modifiable libre. |
| classification | microsoft.graph.security.alertClassification | Spécification de l’incident. Les valeurs possibles sont les suivantes : unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| commentaires | collection microsoft.graph.security.alertComment | Tableau de commentaires créé par l’équipe Des opérations de sécurité (SecOps) lorsque l’incident est géré. |
| createdDateTime | DateTimeOffset | Heure à laquelle l’incident a été créé pour la première fois. |
| customTags | String collection | Tableau de balises personnalisées associées à un incident. |
| description | Chaîne | Description de l’incident. |
| Détermination | microsoft.graph.security.alertDetermination | Spécifie la détermination de l’incident. Les valeurs possibles sont les suivantes : unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication et unknownFutureValue. |
| displayName | Chaîne | Nom de l’incident. |
| id | Chaîne | Identificateur unique pour représenter l’incident. |
| incidentWebUrl | Chaîne | URL de la page d’incident dans le portail Microsoft 365 Defender. |
| lastModifiedBy | Chaîne | Identité qui a modifié l’incident pour la dernière fois. |
| lastUpdateDateTime | DateTimeOffset | Heure de la dernière mise à jour de l’incident. |
| redirectIncidentId | Chaîne | Rempli uniquement si un incident est regroupé avec un autre incident, dans le cadre de la logique qui traite les incidents. Dans ce cas, la propriété status est redirected. |
| Sévérité | alertSeverity | Indique l’impact possible sur les ressources. Plus la gravité est élevée, plus l’impact est important. En règle générale, les éléments de gravité plus élevés nécessitent l’attention la plus immédiate. Les valeurs possibles sont unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.incidentStatus | Status de l’incident. Les valeurs possibles sont , activeresolved, inProgress, redirectedunknownFutureValue, et awaitingAction. |
| tenantId | Chaîne | Locataire Microsoft Entra dans lequel l’alerte a été créée. |
| systemTags | String collection | Balises système associées à l’incident. |
| resolvingComment | Chaîne | Entrée utilisateur qui explique la résolution de l’incident et le choix de classification. Cette propriété contient du texte modifiable libre. |
Valeurs incidentStatus
Le tableau suivant répertorie les membres d’une énumération évolutif. Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir les valeurs suivantes dans cette énumération évolutive : awaitingAction.
| Member | Description |
|---|---|
| Active | L’incident est dans l’état actif. |
| résolu | L’incident est dans l’état résolu. |
| inProgress | L’incident est en cours d’atténuation. |
| Redirigé | L’incident a été fusionné avec un autre incident. L’ID d’incident cible apparaît dans la propriété redirectIncidentId . |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
| a waitingAction | Cet incident nécessite des actions des experts Defender en attente de votre action. Seuls les experts Microsoft 365 Defender peuvent définir cette status. |
Relations
| Relation | Type | Description |
|---|---|---|
| alertes | collection microsoft.graph.security.alert | Liste des alertes associées. Prend en charge $expand. |
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"@odata.type": "#microsoft.graph.security.incident",
"id": "String (identifier)",
"incidentWebUrl": "String",
"tenantId": "String",
"redirectIncidentId": "String",
"displayName": "String",
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"assignedTo": "String",
"classification": "String",
"determination": "String",
"status": "String",
"severity": "String",
"customTags": [
"String"
],
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"systemTags" : [
"String"
],
"description" : "String",
"lastModifiedBy": "String"
}
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour