インシデント リソースの種類
名前空間: microsoft.graph.security
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
Microsoft 365 Defender のインシデントは、 相関アラート インスタンス と、テナントでの攻撃のストーリーを反映した関連付けられたメタデータのコレクションです。
Microsoft 365 サービスおよびアプリは、疑わしい、または悪意のあるイベントやアクティビティを検出した場合にアラートを作成します。 個々のアラートは、完了した攻撃、または進行中の攻撃に関する貴重な手がかりとなります。 ただし、攻撃は通常、デバイス、ユーザー、メールボックスなどの異なる種類のエンティティに対抗してさまざまな技術を採用しています。 その結果、テナント内の複数のエンティティに複数のアラートが表示されます。 個々のアラートを組み合わせて攻撃に関する分析情報を取得するのは困難で時間がかかるため、Microsoft 365 Defender はアラートとその関連情報を自動的にインシデントに集約します。
メソッド
| メソッド | 戻り値の種類 | 説明 |
|---|---|---|
| インシデントをリストする | microsoft.graph.security.incident コレクション | Organizationでの攻撃を追跡するために Microsoft 365 Defender によって作成されたインシデント オブジェクトの一覧を取得します。 |
| インシデントの取得 | microsoft.graph.security.incident | インシデント オブジェクトのプロパティとリレーションシップを読み取ります。 |
| インシデントを更新する | microsoft.graph.security.incident | インシデント オブジェクトのプロパティを更新します。 |
| インシデントのコメントを作成する | alertComment | 指定したインシデント ID プロパティに基づいて、既存の インシデント のコメント を 作成します。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| id | String | インシデントを表す一意の識別子。 |
| displayName | String | インシデント名。 |
| assignedTo | String | インシデントの所有者。所有者が割り当てられていない場合は null。 無料の編集可能なテキスト。 |
| classification | microsoft.graph.security.alertClassification | インシデントの仕様。 可能な値は、unknown、falsePositive、truePositive、informationalExpectedActivity、unknownFutureValue です。 |
| comments | microsoft.graph.security.alertComment コレクション | インシデントの管理時に Security Operations (SecOps) チームによって作成されたコメントの配列。 |
| createdDateTime | DateTimeOffset | インシデントが最初に作成された時刻。 |
| 説明 | String | インシデントの説明。 |
| 決定 | microsoft.graph.security.alertDetermination | インシデントの決定を指定します。 可能な値は、unknown、apt、malware、securityPersonnel、securityTesting、unwantedSoftware、other、multiStagedAttack、compromisedUser、phishing、maliciousUserActivity、clean、insufficientData、confirmedUserActivity、lineOfBusinessApplication、unknownFutureValue です。 |
| tenantId | String | アラートが作成されたMicrosoft Entra テナント。 |
| incidentWebUrl | String | Microsoft 365 Defender ポータルのインシデント ページの URL。 |
| lastModifiedBy | String | インシデントを最後に変更した ID。 |
| lastUpdateDateTime | DateTimeOffset | インシデントが最後に更新された時刻。 |
| redirectIncidentId | String | インシデントを処理するロジックの一部として、インシデントが別のインシデントとグループ化されている場合にのみ設定されます。 このような場合、 status プロパティは です redirected。 |
| severity | alertSeverity | 資産に与える可能性のある影響を示します。 重大度が高いほど、影響が大きくなります。 通常、重大度が高い項目では、最も早い注意が必要です。 使用可能な値: unknown、informational、low、medium、high、unknownFutureValue。 |
| status | microsoft.graph.security.incidentStatus | インシデントの状態。 使用可能な値は、active、、resolved、inProgress、redirectedunknownFutureValue、および awaitingActionです。 |
| customTags | String collection | インシデントに関連付けられているカスタム タグのコレクション。 |
| systemTags | String collection | インシデントに関連付けられているシステム タグのコレクション。 |
| 説明 | String | インシデントを説明するリッチ テキスト文字列 |
| recommendedActions | String | インシデントを解決するために実行するアクションを表すリッチ テキスト文字列 |
| recommendedHuntingQueries | Collection(microsoft.graph.security.recommendedHuntingQuery) | インシデントに関連するハンティング Kusto 照会言語 (KQL) クエリの一覧 |
| resolvingComment | String | インシデントの解決と分類の選択を説明するユーザー入力。 このプロパティには、編集可能な無料のテキストが含まれています。 |
incidentStatus 値
次の表に、 進化可能な列挙体のメンバーを示します。 要求ヘッダーを使用して、Prefer: include-unknown-enum-membersこの進化可能な列挙型で次の値を取得する必要があります。 awaitingAction
| メンバー | 説明 |
|---|---|
| アクティブ | インシデントがアクティブな状態です。 |
| 解決済み | インシデントは解決済み状態です。 |
| inProgress | インシデントは軽減の進行中です。 |
| リダイレクト | インシデントは別のインシデントとマージされました。 ターゲット インシデント ID が redirectIncidentId プロパティに 表示されます。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
| awaitingAction | このインシデントには、アクションを待機している Defender エキスパートからのアクションが必要です。 この状態を設定できるのは、Microsoft 365 Defender エキスパートだけです。 |
リレーションシップ
| リレーションシップ | 型 | 説明 |
|---|---|---|
| アラート | microsoft.graph.security.alert コレクション | 関連するアラートの一覧。 $expand をサポートします。 |
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.security.incident",
"id": "String (identifier)",
"incidentWebUrl": "String",
"tenantId": "String",
"redirectIncidentId": "String",
"displayName": "String",
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"assignedTo": "String",
"classification": "String",
"determination": "String",
"status": "String",
"severity": "String",
"customTags": [
"String"
],
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"systemTags" : [
"String"
],
"description" : "String",
"recommendedActions" : "String",
"recommendedHuntingQueries" : [
{
"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"
}
],
"lastModifiedBy": "String"
}
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示