alertEvidence リソースの種類

名前空間: microsoft.graph.security

アラートに関連する証拠を表 します。

alertEvidence 基本型とその派生証拠の種類は、アラートに関連する各成果物に関する豊富なデータを整理および追跡するための手段を提供します。 たとえば、侵害されたユーザー アカウントを使用してクラウド サービスにサインインする攻撃者の IP アドレスに関する アラート は、次の証拠を追跡できます。

• および の役割attackersourceを持つ IP 証拠、 のrunning修復状態、および のmalicious評決。
• の役割を持つクラウド アプリケーションのcontextual証拠。
• の役割を持つハッキングされたユーザー アカウントのメールボックスのcompromised証拠。

このリソースは、次の証拠の種類の基本型です。

• amazonResourceEvidence
• analyzedMessageEvidence
• azureResourceEvidence
• blobContainerEvidence
• blobEvidence
• cloudApplicationEvidence
• cloudLogonRequestEvidence
• cloudLogonSessionEvidence
• containerEvidence
• containerImageEvidence
• containerRegistryEvidence
• deviceEvidence
• fileEvidence
• googleCloudResourceEvidence
• ipEvidence
• kubernetesClusterEvidence
• kubernetesControllerEvidence
• kubernetesNamespaceEvidence
• kubernetesPodEvidence
• kubernetesSecretEvidence
• kubernetesServiceAccountEvidence
• kubernetesServiceEvidence
• mailClusterEvidence
• mailboxEvidence
• oauthApplicationEvidence
• processEvidence
• registryKeyEvidence
• registryValueEvidence
• securityGroupEvidence
• urlEvidence
• userEvidence

プロパティ

プロパティ	種類	説明
createdDateTime	DateTimeOffset	証拠が作成され、アラートに追加された日時。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。
detailedRoles	String collection	アラート内のエンティティ ロールの詳細な説明。 値は自由形式です。
remediationStatus	microsoft.graph.security.evidenceRemediationStatus	実行された修復アクションの状態。 使用可能な値: none、remediated、prevented、blocked、notFound、unknownFutureValue。
remediationStatusDetails	String	修復の状態の詳細。
roles	microsoft.graph.security.evidenceRole コレクション	証拠エンティティがアラートで表すロール (たとえば、攻撃者に関連付けられている IP アドレスには、攻撃者の証拠ロール があります)。
tags	String collection	たとえば、デバイスのグループ、価値の高い資産などを示すために、証拠インスタンスに関連付けられたカスタム タグの配列。
評決	microsoft.graph.security.evidenceVerdict	自動化された調査によって実現された決定。 使用可能な値: unknown、suspicious、malicious、noThreatsFound、unknownFutureValue。

detectionSource 値

値	説明
検出	実行された脅威の製品が検出されました。
ブロック	脅威は実行時に修復されました。
防止	脅威が発生するのを防いだ (実行、ダウンロードなど)。
unknownFutureValue	進化可能な列挙センチネル値。 使用しないでください。

evidenceRemediationStatus 値

メンバー	説明
none	脅威が見つかりませんでした。
修復	修復アクションが正常に完了しました。
防止	脅威の実行が禁止されました。
ブロック	実行中に脅威がブロックされました。
notFound	証拠が見つかりませんでした。
unknownFutureValue	進化可能な列挙センチネル値。 使用しないでください。

evidenceRole 値

メンバー	説明
不明	証拠ロールは不明です。
コンテキスト	問題が発生した可能性が高いが、攻撃者のアクションの副作用として報告されたエンティティ。 たとえば、悪意のあるサービスを開始するために、問題のない services.exe プロセスが使用されました。
スキャン	検出スキャンまたは偵察アクションのターゲットとして識別されるエンティティ。 たとえば、ポート スキャナーを使用してネットワークをスキャンしました。
source	アクティビティの送信元エンティティ。 たとえば、デバイス、ユーザー、IP アドレスなどです。
先	アクティビティが送信されたエンティティ。 たとえば、デバイス、ユーザー、IP アドレスなどです。
作成済み	エンティティは、攻撃者の操作の結果として作成されました。 たとえば、ユーザー アカウントが作成されました。
追加済み	攻撃者の操作の結果、エンティティが追加されました。 たとえば、ユーザー アカウントがアクセス許可グループに追加されました。
侵害	エンティティが侵害され、攻撃者の管理下にあります。 たとえば、ユーザー アカウントが侵害され、クラウド サービスにログインするために使用されました。
編集済み	エンティティが攻撃者によって編集または変更されました。 たとえば、サービスのレジストリ キーは、新しい悪意のあるペイロードの場所を指すよう編集されました。
攻撃	エンティティが攻撃されました。 たとえば、デバイスは DDoS 攻撃の対象でした。
攻撃者	エンティティは攻撃者を表します。 たとえば、攻撃者の IP アドレスは、侵害されたユーザー アカウントを使用してクラウド サービスにログインしているのを観察しました。
commandAndControl	エンティティは、コマンドと制御に使用されています。 たとえば、マルウェアによって使用される C2 (コマンドと制御) ドメインなどです。
ロード	エンティティは、攻撃者の制御下にあるプロセスによって読み込まれました。 たとえば、DLL が攻撃者が制御するプロセスに読み込まれました。
疑わしい	エンティティは悪意を持っているか、攻撃者によって制御されていると疑われますが、攻撃されていません。
policyViolator	エンティティは、顧客定義ポリシーの違反者です。
unknownFutureValue	進化可能な列挙センチネル値。 使用しないでください。

evidenceRemediationStatus 値

メンバー	説明
不明	証拠に対する判決は決定されなかった。
疑わしい	承認待ちの推奨修復アクション。
悪意	証拠は悪意があると判断されました。
きれい	脅威が検出されなかった - 証拠は良性です。
unknownFutureValue	進化可能な列挙センチネル値。 使用しないでください。

evidenceVerdict 値

メンバー	説明
不明	証拠に対する判決は決定されなかった。
疑わしい	承認待ちの推奨修復アクション。
悪意	証拠は悪意があると判断されました。
noThreatsFound	脅威が検出されなかった - 証拠は良性です。
unknownFutureValue	進化可能な列挙センチネル値。 使用しないでください。

リレーションシップ

なし。

JSON 表記

次の JSON 表現は、リソースの種類を示しています。

{
  "@odata.type": "#microsoft.graph.security.alertEvidence",
  "createdDateTime": "String (timestamp)",
  "verdict": "String",
  "remediationStatus": "String",
  "remediationStatusDetails": "String",
  "roles": [
    "String"
  ],
  "detailedRoles": [
    "String"
  ],
  "tags": [
    "String"
  ]
}