alert リソースの種類 (非推奨)
名前空間: microsoft.graph
注:
従来のアラート API は非推奨となり、2026 年 4 月までに削除される予定です。 新しい アラートとインシデント API に移行することをお勧めします。
このリソースは、Microsoft Graph セキュリティ API の第 1 世代のアラートに対応し、Microsoft またはパートナーのセキュリティ ソリューションによって識別される顧客のテナント内の潜在的なセキュリティの問題を表します。
この種類のアラートは、「 Microsoft Graph セキュリティ API を使用する」に記載されている、サポートされている Azure および Microsoft 365 Defender セキュリティ プロバイダーの呼び出しをフェデレーションします。 さまざまなドメイン間の一般的なアラート データを集計して、アプリケーションが統合されたすべての統合ソリューションでセキュリティの問題の管理を統合および合理化できるようにします。
詳細については、Graph エクスプローラーのサンプル クエリを参照してください。
注:
このリソースは、v1.0 バージョンの Microsoft Graph セキュリティ API が提供する 2 種類のアラートのうちの 1 つです。 詳細については、「 アラート」を参照してください。
メソッド
| メソッド | 戻り値の型 | 説明 |
|---|---|---|
| 警告の取得 | alert | 警告オブジェクトのプロパティとリレーションシップを読み取ります。 |
| 警告の更新 | alert | 警告オブジェクトを更新します。 |
| 警告の一覧表示 | alert コレクション | 警告オブジェクトのコレクションを取得します。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| activityGroupName | String | この警告に起因するアクティビティ グループ (攻撃者) の名前またはエイリアス。 |
| assignedTo | String | トリアージ、調査、修復のために警告が割り当てられているアナリストの名前です (更新をサポートしています)。 |
| azureSubscriptionId | String | Azure サブスクリプション ID (この警告が Azure リソースに関連している場合に提示されます)。 |
| azureTenantId | String | テナント ID をMicrosoft Entraします。 必須です。 |
| category | String | アラートのカテゴリ (credentialTheft、ランサムウェアなど)。 |
| closedDateTime | DateTimeOffset | 警告が閉じられた時刻。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表します。これは常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z のようになります (更新をサポートしています)。 |
| cloudAppStates | cloudAppSecurityState コレクション | この警告に関連するクラウド アプリケーションについて、プロバイダーによって生成されるセキュリティ関連のステートフル情報。 |
| comments | String コレクション | 警告に対する顧客提供のコメント (顧客警告管理の場合) (更新をサポートしています)。 |
| confidence | Int32 | 検出ロジックの信頼性 (1 ~ 100 のパーセンテージ値)。 |
| createdDateTime | DateTimeOffset | 警告が警告プロバイダーによって作成された時刻。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 必須です。 |
| 説明 | String | 警告の説明。 |
| detectionIds | String コレクション | この警告エンティティに関連する警告のセット (各警告は個別のレコードとして SIEM にプッシュされます)。 |
| eventDateTime | DateTimeOffset | アラートを生成するためのトリガーとして機能したイベントまたはイベントが発生した時刻。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 必須です。 |
| feedback | alertFeedback | 警告に関するアナリストのフィードバック。 使用可能な値は、unknown、truePositive、falsePositive、benignPositive です。
更新プログラムをサポートします。 |
| fileStates | fileSecurityState コレクション | この警告に関連するファイルについて、プロバイダーによって生成されるセキュリティ関連のステートフル情報。 |
| hostStates | hostSecurityState コレクション | この警告に関連するホストについて、プロバイダーによって生成されるセキュリティ関連のステートフル情報。 |
| id | String | プロバイダーによって生成された GUID/一意の識別子。 読み取り専用です。 必須です。 |
| incidentIds | String コレクション | 現在の警告に関連するインシデントの ID。 |
| lastModifiedDateTime | DateTimeOffset | 警告エンティティが最後に変更された時刻。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| malwareStates | malwareState コレクション | この警告に関連したマルウェアについての脅威インテリジェンス。 |
| networkConnections | networkConnection コレクション | この警告に関連するネットワーク接続について、プロバイダーによって生成されるセキュリティ関連のステートフル情報。 |
| processes | process コレクション | この警告に関連するプロセスについて、プロバイダーによって生成されるセキュリティ関連のステートフル情報。 |
| recommendedActions | String コレクション | 警告の結果として実行する仕入先/プロバイダー推奨アクション (たとえば、マシンの分離、enforce2FA、再イメージ化ホスト)。 |
| registryKeyStates | registryKeyState コレクション | この警告に関連するレジストリ キーについて、プロバイダーによって生成されるセキュリティ関連のステートフル情報。 |
| securityResources | securityResource コレクション | 現在の警告に関連するリソース。 たとえば、一部の警告では、これに Azure リソースの値が含まれる場合があります。 |
| severity | alertSeverity | 警告の重要度 - 仕入先/プロバイダーが設定します。 可能な値は、unknown、informational、low、medium、high です。 必須です。 |
| sourceMaterials | String コレクション | アラートに関連するソース マテリアルへのハイパーリンク (URI) (アラートやログ検索用のプロバイダーのユーザー インターフェイスなど)。 |
| status | alertStatus | 警告のライフサイクル ステータス (ステージ)。 使用可能な値は、unknown、newAlert、inProgress、resolved です。 (更新をサポートしています)。 必須です。 |
| タグ | String collection | アラートに適用でき、フィルター条件 ("HVA"、"SAW" など) として機能するユーザー定義可能なラベル ( 更新をサポート)。 |
| title | String | 警告タイトル。 必須です。 |
| triggers | alertTrigger コレクション | 警告をトリガーした特定のプロパティ (警告に表示されるプロパティ) に関するセキュリティ関連の情報。 警告には、複数のユーザー、ホスト、ファイル、IP アドレスに関する情報が含まれる場合があります。 このフィールドは、警告の生成をトリガーしたプロパティを示します。 |
| userStates | userSecurityState コレクション | この警告に関連するユーザー アカウントについて、プロバイダーによって生成されるセキュリティ関連のステートフル情報。 |
| vendorInformation | securityVendorInformation | セキュリティ製品/サービスの仕入先、プロバイダー、サブプロバイダーに関する詳細を含む複合型 (たとえば、仕入先 = Microsoft、プロバイダー = Windows Defender ATP、サブプロバイダー = AppLocker)。 必須です。 |
| vulnerabilityStates | vulnerabilityState コレクション | この警告に関連した 1 つかそれ以上の脆弱性についての脅威インテリジェンス。 |
関係
なし。
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"activityGroupName": "String",
"assignedTo": "String",
"azureSubscriptionId": "String",
"azureTenantId": "String",
"category": "String",
"closedDateTime": "String (timestamp)",
"cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
"comments": ["String"],
"confidence": 1024,
"createdDateTime": "String (timestamp)",
"description": "String",
"detectionIds": ["String"],
"eventDateTime": "String (timestamp)",
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
"hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
"id": "String (identifier)",
"incidentIds": ["String"],
"lastModifiedDateTime": "String (timestamp)",
"malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
"networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
"processes": [{"@odata.type": "microsoft.graph.process"}],
"recommendedActions": ["String"],
"registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
"securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"sourceMaterials": ["String"],
"status": "@odata.type: microsoft.graph.alertStatus",
"tags": ["String"],
"title": "String",
"triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
"userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
"vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
"vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}