インシデント リソースの種類
名前空間: microsoft.graph.security
Microsoft 365 Defender のインシデントは、 相関アラート インスタンス と、テナントに対する攻撃のストーリーを反映した関連付けられたメタデータのコレクションです。
Microsoft 365 サービスおよびアプリは、疑わしい、または悪意のあるイベントやアクティビティを検出した場合にアラートを作成します。 個々のアラートは、完了した攻撃、または進行中の攻撃に関する貴重な手がかりとなります。 ただし、攻撃は通常、デバイス、ユーザー、メールボックスなどの異なる種類のエンティティに対抗してさまざまな技術を採用しています。 その結果、テナント内の複数のエンティティに複数のアラートが表示されます。 個々のアラートを組み合わせて攻撃に関する分析情報を取得するのは困難で時間がかかるため、Microsoft 365 Defender はアラートとその関連情報を自動的にインシデントに集約します。
メソッド
| メソッド | 戻り値の種類 | 説明 |
|---|---|---|
| インシデントをリストする | microsoft.graph.security.incident コレクション | 組織内の攻撃を追跡するために Microsoft 365 Defender によって作成された インシデント オブジェクトの一覧を取得します。 |
| インシデントを取得する | microsoft.graph.security.incident | インシデント オブジェクトのプロパティとリレーションシップを読み取ります。 |
| インシデントを更新する | microsoft.graph.security.incident | インシデント オブジェクトのプロパティを更新します。 |
| インシデントのコメントを作成する | alertComment | 指定したインシデント ID プロパティに基づいて、既存の インシデント のコメント を 作成します。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| assignedTo | String | インシデントの所有者。所有者が割り当てられていない場合は null。 無料の編集可能なテキスト。 |
| classification | microsoft.graph.security.alertClassification | インシデントの仕様。 可能な値は、unknown、falsePositive、truePositive、informationalExpectedActivity、unknownFutureValue です。 |
| comments | microsoft.graph.security.alertComment コレクション | インシデントの管理時に Security Operations (SecOps) チームによって作成されたコメントの配列。 |
| createdDateTime | DateTimeOffset | インシデントが最初に作成された時刻。 |
| customTags | String collection | インシデントに関連付けられているカスタム タグの配列。 |
| 説明 | String | インシデントの説明。 |
| 決定 | microsoft.graph.security.alertDetermination | インシデントの決定を指定します。 可能な値は、unknown、apt、malware、securityPersonnel、securityTesting、unwantedSoftware、other、multiStagedAttack、compromisedUser、phishing、maliciousUserActivity、clean、insufficientData、confirmedUserActivity、lineOfBusinessApplication、unknownFutureValue です。 |
| displayName | String | インシデント名。 |
| id | String | インシデントを表す一意の識別子。 |
| incidentWebUrl | String | Microsoft 365 Defender ポータルのインシデント ページの URL。 |
| lastModifiedBy | String | インシデントを最後に変更した ID。 |
| lastUpdateDateTime | DateTimeOffset | インシデントが最後に更新された時刻。 |
| redirectIncidentId | String | インシデントを処理するロジックの一部として、インシデントが別のインシデントとグループ化された場合にのみ設定されます。 このような場合、 status プロパティは redirected。 |
| resolvingComment | String | インシデントの解決と分類の選択を説明するユーザー入力。 このプロパティには、編集可能な無料のテキストが含まれています。 |
| severity | alertSeverity | 資産に与える可能性のある影響を示します。 重大度が高いほど、影響が大きくなります。 通常、重大度が高い項目では、最も早い注意が必要です。 使用可能な値: unknown、informational、low、medium、high、unknownFutureValue。 |
| status | microsoft.graph.security.incidentStatus | インシデントの状態。 使用可能な値は、 active、 resolved、 inProgress、 redirected、 unknownFutureValue、および awaitingActionです。 |
| 概要 | String | 攻撃の概要。 該当する場合、概要には、発生した内容、影響を受けた資産、攻撃の種類の詳細が含まれます。 |
| systemTags | String collection | インシデントに関連付けられているシステム タグ。 |
| tenantId | String | アラートが作成された Microsoft Entra テナント。 |
incidentStatus 値
次の表に、 進化可能な列挙体のメンバーを示します。 この進化可能な列挙型で次の値を取得するには、 Prefer: include-unknown-enum-members 要求ヘッダーを使用する必要があります: awaitingAction。
| メンバー | 説明 |
|---|---|
| アクティブ | インシデントがアクティブな状態です。 |
| 解決済み | インシデントは解決済み状態です。 |
| inProgress | インシデントは軽減の進行中です。 |
| リダイレクト | インシデントは別のインシデントとマージされました。 ターゲット インシデント ID が redirectIncidentId プロパティに 表示されます。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
| awaitingAction | このインシデントには、アクションを待機している Defender エキスパートからのアクションが必要です。 この状態を設定できるのは、Microsoft 365 Defender エキスパートだけです。 |
リレーションシップ
| リレーションシップ | 型 | 説明 |
|---|---|---|
| アラート | microsoft.graph.security.alert コレクション | 関連するアラートの一覧。
$expand をサポートします。 |
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String"
}