Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Espace de noms : microsoft.graph.security
Importante
Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Représente une action de correction pour un incident. Lorsque Microsoft Defender Experts pour XDR identifie une action nécessaire, il crée une tâche que vous pouvez examiner et agir. Passez en revue ces tâches et prenez des mesures sur ces tâches via le portail ou à l’aide de cette API.
Hérite de microsoft.graph.entity.
Méthodes
| Méthode | Type de retour | Description |
|---|---|---|
| List | collection microsoft.graph.security.incidentTask | Obtenir des objets de tâche d’incident et leurs propriétés. |
| Obtenir | microsoft.graph.security.incidentTask | Lire les propriétés et les relations d’une tâche incidente. |
| Mettre à jour | microsoft.graph.security.incidentTask | Mettez à jour le status d’une tâche d’incident. |
| Exécuter une action de réponse | Aucun | Exécutez une action de correction sur une tâche incidente. Limité aux types d’actions pris en charge. |
Propriétés
| Propriété | Type | Description |
|---|---|---|
| actionStatus | microsoft.graph.security.incidentTaskActionStatus | Status d’exécution de l’action. Les valeurs possibles sont notStarted, inProgress, partiallyCompleted, completed, failed, unknownFutureValue. Pour plus d’informations, consultez Valeurs incidentTaskActionStatus. |
| actionType | microsoft.graph.security.incidentTaskActionType | Action de correction à effectuer. Les valeurs possibles sont , text, isolateDevice, stopAndQuarantineFilerunAntiVirusScan, collectInvestigationPackage, restrictAppExecution, submitIocRuleforceUserPasswordReset, , disableUser, markUserAsCompromised, hardDeleteEmailrequireSignIn, , unIsolateDevicesoftDeleteEmail, , unRestrictAppExecution, enableUser, . unknownFutureValue Pour plus d’informations, consultez valeurs incidentTaskActionType. |
| createdByDisplayName | String | Nom de l’entité qui a créé la tâche. En lecture seule. |
| createdDateTime | DateTimeOffset | Heure de création de la tâche. En lecture seule. |
| description | String | Description de l’action de correction. |
| displayName | Chaîne | Titre de la tâche. |
| id | String | Identificateur GUID unique pour la tâche. |
| lastModifiedByDisplayName | String | Nom de l’entité qui a mis à jour la dernière tâche. En lecture seule. |
| lastModifiedDateTime | DateTimeOffset | Heure de la dernière mise à jour de la tâche. En lecture seule. |
| responseAction | microsoft.graph.security.incidentTaskResponseAction | Action de reponse. |
| source | microsoft.graph.security.incidentTaskSource | Origine de la tâche. Les valeurs possibles sont defenderExpertsGuidedResponse, defenderExpertsManagedResponse, unknownFutureValue. Pour plus d’informations, consultez valeurs incidentTaskSource. |
| status | microsoft.graph.security.incidentTaskStatus | Status de tâche actuelle. Cette propriété est la seule propriété que vous pouvez mettre à jour. Les valeurs possibles sont open, inProgress, completed, failed, notRelevant, unknownFutureValue. Pour plus d’informations, consultez Valeurs incidentTaskStatus. |
Valeurs incidentTaskActionStatus
| Member | Description |
|---|---|
| notStarted | L’action liée à la tâche d’incident n’est pas démarrée. |
| inProgress | L’action liée à la tâche d’incident est inProgress. |
| partiellementcompleted | L’action liée à la tâche d’incident est partiellement terminée. |
| terminé | L’action liée à la tâche d’incident est terminée. |
| raté | L’action liée à la tâche d’incident a échoué. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs incidentTaskActionType
| Member | Description |
|---|---|
| text | L’action peut être n’importe quel texte libre, par exemple, le SOC peut guider le client pour mettre en forme son appareil. |
| isolateDevice | Utilise Microsoft Defender pour point de terminaison pour appliquer l’isolation réseau complète, empêchant l’appareil de se connecter à n’importe quelle application ou service. |
| stopAndQuarantineFile | Utilise Microsoft Defender pour point de terminaison pour supprimer un fichier de l’appareil. |
| runAntiVirusScan | Effectue Microsoft Defender’analyse antivirus sur l’appareil. |
| collectInvestigationPackage | Utilise Microsoft Defender pour point de terminaison pour collecter les journaux d’activité des appareils et les stocker dans un fichier ZIP. |
| restrictAppExecution | Définit des restrictions sur l’appareil pour autoriser uniquement les exécutables signés avec un certificat émis par Microsoft à s’exécuter. |
| submitIocRule | Soumettre la règle CIO. |
| forceUserPasswordReset | Force l’utilisateur à réinitialiser son mot de passe. |
| disableUser | Empêche temporairement un utilisateur de se connecter au site local. |
| markUserAsCompromised | Définit le niveau de risque des utilisateurs sur « élevé » dans Azure Active Directory. |
| requireSignIn | Exige que l’utilisateur se reconnecte. |
| hardDeleteEmail | Supprime le message électronique. |
| softDeleteEmail | Déplace le message électronique vers le dossier supprimé. |
| unIsolateDevice | Rétablit l’action de réponse isolateDevice. |
| unRestrictAppExecution | Rétablit l’action de réponse restrictAppExecution. |
| enableUser | Rétablit l’action de réponse disableUser. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs incidentTaskSource
| Member | Description |
|---|---|
| defenderExpertsGuidedResponse | La tâche d’incident Defender Experts est en attente d’exécution sur le client. |
| defenderExpertsManagedResponse | L’exécution de la tâche d’incident Defender Experts est effectuée par les experts Defender. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs incidentTaskStatus
| Member | Description |
|---|---|
| ouvrir | La tâche d’incident est marquée comme ouverte. |
| inProgress | La tâche d’incident est marquée comme étant en cours. |
| terminé | La tâche d’incident est marquée comme terminée. |
| raté | La tâche d’incident est marquée comme ayant échoué. Échec de l’exécution de l’action définit également l’échec de la tâche d’incident status. |
| notRelevant | La tâche d’incident est marquée comme non pertinente. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Relations
| Relation | Type | Description |
|---|---|---|
| incident | microsoft.graph.security.incident | Obligatoire. Incident qui contient cette tâche. Doit contenir un ID d’incident valide. |
Représentation JSON
Le code JSON suivant montre la structure du type de ressource.
{
"@odata.type": "#microsoft.graph.security.incidentTask",
"id": "String (identifier)",
"status": "String",
"source": "String",
"displayName": "String",
"description": "String",
"createdDateTime": "String (timestamp)",
"createdByDisplayName": "String",
"lastModifiedDateTime": "String (timestamp)",
"lastModifiedByDisplayName": "String",
"actionStatus": "String",
"actionType": "String",
"incident": {
"@odata.type": "microsoft.graph.security.incident",
"id": "String"
}
}