alertEvidence リソースの種類

名前空間: microsoft.graph.security

アラートに関連する証拠を表 します。

alertEvidence 基本型とその派生証拠の種類は、アラートに関連する各成果物に関する豊富なデータを整理および追跡するための手段を提供します。 たとえば、侵害されたユーザー アカウントを使用してクラウド サービスにサインインする攻撃者の IP アドレスに関する アラート は、次の証拠を追跡できます。

• および の役割attackersourceを持つ IP 証拠、 のrunning修復状態、および のmalicious評決。
• の役割を持つクラウド アプリケーションのcontextual証拠。
• の役割を持つハッキングされたユーザー アカウントのメールボックスのcompromised証拠。

このリソースは、次の証拠の種類の基本型です。

• amazonResourceEvidence
• analyzedMessageEvidence
• azureResourceEvidence
• blobContainerEvidence
• blobEvidence
• cloudApplicationEvidence
• containerEvidence
• containerImageEvidence
• containerRegistryEvidence
• deviceEvidence
• fileEvidence
• googleCloudResourceEvidence
• ipEvidence
• kubernetesClusterEvidence
• kubernetesControllerEvidence
• kubernetesNamespaceEvidence
• kubernetesPodEvidence
• kubernetesSecretEvidence
• kubernetesServiceAccountEvidence
• kubernetesServiceEvidence
• mailClusterEvidence
• mailboxEvidence
• oauthApplicationEvidence
• processEvidence
• registryKeyEvidence
• registryValueEvidence
• securityGroupEvidence
• urlEvidence
• userEvidence

プロパティ

プロパティ	型	説明
createdDateTime	DateTimeOffset	証拠が作成され、アラートに追加された日時。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。
detailedRoles	String collection	アラート内のエンティティ ロールの詳細な説明。 値は自由形式です。
remediationStatus	microsoft.graph.security.evidenceRemediationStatus	実行された修復アクションの状態。 使用可能な値: none、remediated、prevented、blocked、notFound、unknownFutureValue。
remediationStatusDetails	String	修復の状態の詳細。
roles	microsoft.graph.security.evidenceRole コレクション	証拠エンティティがアラートで表すロール (たとえば、攻撃者に関連付けられている IP アドレスには、攻撃者の証拠ロール があります)。
tags	String collection	たとえば、デバイスのグループ、価値の高い資産などを示すために、証拠インスタンスに関連付けられたカスタム タグの配列。
評決	microsoft.graph.security.evidenceVerdict	自動化された調査によって実現された決定。 使用可能な値: unknown、suspicious、malicious、noThreatsFound、unknownFutureValue。

detectionSource 値

値	説明
検出	実行された脅威の製品が検出されました。
ブロック	脅威は実行時に修復されました。
防止	脅威が発生するのを防いだ (実行、ダウンロードなど)。
unknownFutureValue	進化可能な列挙センチネル値。 使用しないでください。

evidenceRemediationStatus 値

メンバー	説明
none	脅威が見つかりませんでした。
修復	修復アクションが正常に完了しました。
防止	脅威の実行が禁止されました。
ブロック	実行中に脅威がブロックされました。
notFound	証拠が見つかりませんでした。
unknownFutureValue	進化可能な列挙センチネル値。 使用しないでください。

evidenceRole 値

メンバー	説明
不明	証拠ロールは不明です。
コンテキスト	発生した可能性は高いが、攻撃者のアクションの副作用として報告されたエンティティ (たとえば、悪意のあるサービスを開始するために無害な services.exe プロセスが使用されました)。
スキャン	検出スキャンまたは偵察アクションのターゲットとして識別されるエンティティ 。たとえば、ポート スキャナーを使用してネットワークをスキャンしました。
source	アクティビティの送信元のエンティティ (デバイス、ユーザー、IP アドレスなど)。
先	アクティビティが送信されたエンティティ (デバイス、ユーザー、IP アドレスなど)。
作成済み	エンティティは、ユーザー アカウントが作成されたなど、攻撃者の操作の結果として作成されました。
追加済み	エンティティは、攻撃者のアクションの結果として追加されました。たとえば、ユーザー アカウントがアクセス許可グループに追加されました。
侵害	エンティティが侵害され、攻撃者の管理下にあります。たとえば、ユーザー アカウントが侵害され、クラウド サービスにログインするために使用されました。
編集済み	エンティティは攻撃者によって編集または変更されました。たとえば、サービスのレジストリ キーが編集され、新しい悪意のあるペイロードの場所を指していました。
攻撃	エンティティが攻撃されました。たとえば、デバイスが DDoS 攻撃の対象でした。
攻撃者	エンティティは攻撃者を表します。たとえば、攻撃者の IP アドレスは、侵害されたユーザー アカウントを使用してクラウド サービスにログインしているのを観察しました。
commandAndControl	エンティティは、マルウェアによって使用される C2 (コマンドと制御) ドメインなど、コマンドと制御に使用されています。
ロード	エンティティは、攻撃者の制御下にあるプロセスによって読み込まれました。たとえば、Dll が攻撃者が制御するプロセスに読み込まれました。
疑わしい	エンティティは悪意を持っているか、攻撃者によって制御されていると疑われますが、攻撃されていません。
policyViolator	エンティティは、顧客定義ポリシーの違反者です。
unknownFutureValue	進化可能な列挙センチネル値。 使用しないでください。

evidenceRemediationStatus 値

メンバー	説明
不明	証拠に対する判決は決定されなかった。
疑わしい	承認待ちの推奨修復アクション。
悪意	証拠は悪意があると判断されました。
クリーン	脅威が検出されなかった - 証拠は良性です。
unknownFutureValue	進化可能な列挙センチネル値。 使用しないでください。

evidenceVerdict 値

メンバー	説明
不明	証拠に対する判決は決定されなかった。
疑わしい	承認待ちの推奨修復アクション。
悪意	証拠は悪意があると判断されました。
noThreatsFound	脅威が検出されなかった - 証拠は良性です。
unknownFutureValue	進化可能な列挙センチネル値。 使用しないでください。

リレーションシップ

なし。

JSON 表記

次の JSON 表現は、リソースの種類を示しています。

{
  "@odata.type": "#microsoft.graph.security.alertEvidence",
  "createdDateTime": "String (timestamp)",
  "verdict": "String",
  "remediationStatus": "String",
  "remediationStatusDetails": "String",
  "roles": [
    "String"
  ],
  "detailedRoles": [
    "String"
  ],
  "tags": [
    "String"
  ]
}