名前空間: microsoft.graph.security
このリソースは、Microsoft Graph セキュリティ API によって生成されたアラートの最新のバッチに対応します。 このリソースは、Microsoft 365 Defender または Microsoft 365 Defender と統合されたセキュリティ プロバイダーが特定した、顧客のテナント内の潜在的なセキュリティの問題を表します。
セキュリティ プロバイダーが脅威を検出すると、システムにアラートが作成されます。 Microsoft 365 Defender は、セキュリティ プロバイダーからこのアラート データをプルし、アラート データを使用して、関連する攻撃、影響を受ける資産、および関連する証拠に関するアラート リソースに貴重な手掛かりを返します。 同じ攻撃手法または同じ攻撃者を持つ他のアラートを インシデント に自動的に関連付けて、攻撃のより広範なコンテキストを提供します。 この方法でアラートを集約すると、アナリストは脅威への総合的な調査や対応が簡単にできるようになります。
注:
このリソースは、v1.0 バージョンの Microsoft Graph セキュリティ API が提供する 2 種類のアラートのうちの 1 つです。 詳細については、「 アラート」を参照してください。
メソッド
| メソッド | 戻り値の種類 | 説明 |
|---|---|---|
| List | microsoft.graph.security.alert コレクション | organization内の不審なアクティビティを追跡するために作成されたアラート リソースの一覧を取得します。 |
| Get | microsoft.graph.security.alert | 指定したアラート ID プロパティに基づいて、organization内のアラート オブジェクトのプロパティを取得します。 |
| Update | microsoft.graph.security.alert | 指定したアラートID プロパティに基づいて、organization内のアラート オブジェクトのプロパティを更新します。 |
| コメントを作成する | alertComment | 指定した アラート ID プロパティに基づいて、既存のアラートのコメント を 作成します。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| actorDisplayName | 文字列 | このアラートに関連付けられている敵対者またはアクティビティ グループ。 |
| additionalData | microsoft.graph.security.dictionary | ユーザー定義プロパティなど、他のアラート プロパティのコレクション。 アラートで定義されているカスタムの詳細と、アラートの詳細に含まれる動的コンテンツはここに格納されます。 |
| alertPolicyId | 文字列 | アラートを生成し、アラートを生成した特定のポリシーがある場合に設定されるポリシーの ID。顧客によって構成されているか、組み込みのポリシーによって構成されているか。 |
| alertWebUrl | 文字列 | Microsoft 365 Defender ポータルのアラート ページの URL。 |
| assignedTo | String | アラートの所有者。所有者が割り当てられていない場合は null。 |
| category | 文字列 | アラートが属する攻撃キル チェーン カテゴリ。 MITRE ATT&CK フレームワークに合わせて調整されています。 |
| classification | microsoft.graph.security.alertClassification | アラートが真の脅威を表すかどうかを指定します。 使用可能な値: unknown、falsePositive、truePositive、informationalExpectedActivity、unknownFutureValue。 |
| comments | microsoft.graph.security.alertComment コレクション | アラート管理プロセス中にセキュリティ運用 (SecOps) チームによって作成されたコメントの配列。 |
| createdDateTime | DateTimeOffset | Microsoft 365 Defender がアラートを作成した時刻。 |
| customDetails | microsoft.graph.security.dictionary | 文字列値を持つユーザー定義のカスタム フィールド。 |
| 説明 | String | 各アラートを記述する文字列値。 |
| detectionSource | microsoft.graph.security.detectionSource | 注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー。 |
| detectorId | 文字列 | アラートをトリガーした検出機能の ID。 |
| 決定 | microsoft.graph.security.alertDetermination | 調査の結果、アラートが真の攻撃を表しているかどうか、その場合は攻撃の性質を指定します。 使用可能な値は、 unknown、 apt、 malware、 securityPersonnel、 securityTesting、 unwantedSoftware、 othermultiStagedAttack、 compromisedAccount、 phishing、 maliciousUserActivity、 notMalicious、 notEnoughDataToValidate、 confirmedUserActivity、 lineOfBusinessApplication、 unknownFutureValueです。 |
| 証拠 | microsoft.graph.security.alertEvidence コレクション | アラートに関連する証拠の収集。 |
| firstActivityDateTime | DateTimeOffset | アラートに関連付けられている最も古いアクティビティ。 |
| id | 文字列 | アラート リソースを表す一意の識別子。 |
| incidentId | 文字列 | このアラート リソースが関連付けられているインシデントを表す一意の識別子。 |
| incidentWebUrl | 文字列 | Microsoft 365 Defender ポータルのインシデント ページの URL。 |
| investigationState | microsoft.graph.security.investigationState | 調査の現在の状態に関する情報。 使用できる値は、 unknown、 terminated、 successfullyRemediated、 benign、 failed、 partiallyRemediated、 running、 pendingApproval、 pendingResource、 queuedinnerFailure、 preexistingAlert、 unsupportedOs、 unsupportedAlertType、 suppressedAlert、 partiallyInvestigated、 terminatedByUser、 terminatedBySystem、 unknownFutureValueです。 |
| lastActivityDateTime | DateTimeOffset | アラートに関連付けられている最も古いアクティビティ。 |
| lastUpdateDateTime | DateTimeOffset | Microsoft 365 Defender でアラートが最後に更新された時刻。 |
| mitreTechniques | Collection(Edm.String) | 攻撃手法は、MITRE ATT&CK フレームワークに合わせて調整されます。 |
| productName | 文字列 | このアラートを発行した製品の名前。 |
| providerAlertId | 文字列 | アラートを生成したセキュリティ プロバイダー製品に表示されるアラートの ID。 |
| recommendedActions | 文字列 | このアラートが生成された場合に実行する推奨応答と修復アクション。 |
| resolvedDateTime | DateTimeOffset | アラートが解決された時刻。 |
| serviceSource | microsoft.graph.security.serviceSource | このアラートを作成したサービスまたは製品。 詳細については、「 serviceSource 値」を参照してください。 |
| severity | microsoft.graph.security.alertSeverity | 資産に与える可能性のある影響を示します。 重大度が高いほど、影響が大きくなります。 通常、重大度が高い項目では、最も早い注意が必要です。 使用可能な値: unknown、informational、low、medium、high、unknownFutureValue。 |
| status | microsoft.graph.security.alertStatus | アラートの状態。 詳細については、「 alertStatus 値」を参照してください。 |
| tenantId | String | アラートが作成されたMicrosoft Entra テナント。 |
| threatDisplayName | 文字列 | このアラートに関連付けられている脅威。 |
| threatFamilyName | 文字列 | このアラートに関連付けられている脅威ファミリ。 |
| title | String | アラートを説明する文字列値を簡単に識別します。 |
| systemTags | String collection | アラートに関連付けられているシステム タグ。 |
alertClassification 値
| メンバー | 説明 |
|---|---|
| 不明 | アラートはまだ分類されていません。 |
| falsePositive | アラートは誤検知であり、悪意のあるアクティビティを検出しませんでした。 |
| truePositive | アラートは真陽性であり、検出された悪意のあるアクティビティです。 |
| informationalExpectedActivity | アラートは問題のない陽性であり、信頼された内部ユーザー (セキュリティ テストなど) によって悪意のある可能性のあるアクティビティが検出されます。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
alertDetermination 値
| メンバー | 説明 |
|---|---|
| 不明 | 決定値がまだ設定されていません。 |
| Apt | 高度な永続的な脅威を検出した真の肯定的なアラート。 |
| マルウェア | 悪意のあるソフトウェアを検出した真の肯定的なアラート。 |
| securityPersonnel | 顧客のセキュリティ チームの誰かが実行した有効な不審なアクティビティを検出した真の肯定的なアラート。 |
| securityTesting | 既知のセキュリティ テストの一環として実行された有効な疑わしいアクティビティが検出されました。 |
| unwantedSoftware | アラートで不要なソフトウェアが検出されました。 |
| 他 | その他の決定。 |
| multiStagedAttack | 複数のキルチェーン攻撃ステージを検出した真陽性アラート。 |
| compromisedAccount | 目的のユーザーの資格情報が侵害または盗まれたことを検出した真の肯定的なアラート。 |
| フィッシング詐欺 | フィッシングメールを検出した真陽性のアラート。 |
| maliciousUserActivity | ログオンしているユーザーが悪意のあるアクティビティを実行することを検出した真陽性のアラート。 |
| notMalicious | 誤ったアラート。疑わしいアクティビティはありません。 |
| notEnoughDataToValidate | それ以外の場合は証明するのに十分な情報を含まない、誤ったアラート。 |
| confirmedActivity | アラートは、既知のユーザー アクティビティであるため、OK と見なされる真の疑わしいアクティビティをキャッチしました。 |
| lineOfBusinessApplication | アラートは、既知の確認済みの内部アプリケーションであるため、OK と見なされる真の疑わしいアクティビティをキャッチしました。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
investigationState 値
| メンバー | 説明 |
|---|---|
| 不明 | 不明な調査状態。 |
| 終了 | 調査は完了前に終了しました。 |
| successfullyRemediated | すべての修復アクションが実行され、調査が正常に完了しました。 |
| 良性 | 修復の試行なしで調査が完了しました。 |
| 失敗 しました | 問題によって調査が中断され、完了できません。 |
| partiallyRemediated | いくつかの修復計画が正常に実行され、調査が完了しました。 |
| 実行 | 調査は現在進行中です。 |
| pendingApproval | 調査が一時停止しました。一部のアクションでは、ユーザーのレビューと承認が必要です。 |
| pendingResource | 調査は、必要なリソースが使用可能になるまで一時停止されます。 |
| キュー | 調査はキューに入れ、開始を待機しています。 |
| innerFailure | 調査で内部システムエラーが発生しました。 |
| preexistingAlert | 同様のアラートが既に存在するため、調査は開始されませんでした。 |
| unsupportedOs | オペレーティング システムがサポートされていないため、調査を続行できません。 |
| unsupportedAlertType | アラートの種類がサポートされていないため、調査を続行できません。 |
| suppressedAlert | 構成されたルールまたはポリシーに基づいて調査が抑制されました。 |
| partiallyInvestigated | 調査が部分的に完了しました。 |
| terminatedByUser | 調査が完了する前にユーザーによって停止されました。 |
| terminatedBySystem | 調査が完了する前に、システムによって停止されました。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
alertSeverity 値
| メンバー | 説明 |
|---|---|
| 不明 | 不明な重大度。 |
| 情報 | アクション可能ではないか、ネットワークに有害と見なされる可能性があるが、潜在的なセキュリティの問題に対する組織のセキュリティ認識を促進する可能性があるアラート。 |
| 低 | 一般的なマルウェアに関連する脅威に関するアラート。 たとえば、ハッキング ツール、探索コマンドの実行やログのクリアなど、マルウェア以外のハッキング ツールは、多くの場合、organizationを対象とする高度な脅威を示していません。 また、organizationのユーザーがテストしている分離されたセキュリティ ツールから取得することもできます。 |
| medium | 高度な永続的な脅威 (APT) の一部である可能性がある検出と応答の侵害後の動作から生成されたアラート。 この重大度レベルには、攻撃ステージの一般的な動作、異常なレジストリの変更、疑わしいファイルの実行などが含まれます。 内部セキュリティ テストによるものもありますが、高度な攻撃の一部である可能性があるため、有効な検出であり、調査が必要です。 |
| 高 | 高度な永続的な脅威 (APT) に関連付けられている一般的なアラート。 これらのアラートは、資産に与える損害の重大度が高いため、リスクが高いことを示します。 たとえば、資格情報の盗難ツールアクティビティ、グループに関連付けられていないランサムウェア アクティビティ、セキュリティ センサーの改ざん、または人間の敵対者を示す悪意のあるアクティビティなどがあります。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
リレーションシップ
なし。
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.security.alert",
"actorDisplayName": "String",
"additionalData": {"@odata.type": "microsoft.graph.security.dictionary"},
"alertWebUrl": "String",
"assignedTo": "String",
"category": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customDetails": {"@odata.type": "microsoft.graph.security.dictionary"},
"description": "String",
"detectionSource": "String",
"detectorId": "String",
"determination": "String",
"evidence": [{"@odata.type": "microsoft.graph.security.alertEvidence"}],
"firstActivityDateTime": "String (timestamp)",
"id": "String (identifier)",
"incidentId": "String",
"incidentWebUrl": "String",
"investigationState": "String",
"lastActivityDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"mitreTechniques": ["String"],
"productName": "String",
"providerAlertId": "String",
"recommendedActions": "String",
"resolvedDateTime": "String (timestamp)",
"serviceSource": "String",
"severity": "String",
"status": "String",
"systemTags" : ["String"],
"tenantId": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"title": "String"
}