インシデントをリストする

名前空間: microsoft.graph.security

Organizationでの攻撃を追跡するために Microsoft 365 Defender によって作成されたインシデント オブジェクトの一覧を取得します。

攻撃は通常、デバイス、ユーザー、メールボックスなど、さまざまな種類のエンティティに対して発生し、複数の アラート オブジェクトが発生します。 Microsoft 365 Defender は、同じ攻撃手法または同じ攻撃者とアラートをインシデントに関連付 けます。

この操作を使用すると、インシデントをフィルター処理して並べ替えて、情報に基づいたサイバー セキュリティ対応を作成できます。 環境保持ポリシーで指定した時間範囲内で、ネットワーク上でフラグが設定されたインシデントのコレクションを公開します。 最新のインシデントが一覧の上部に表示されます。

この API は、次の国内クラウド展開で使用できます。

グローバル サービス	米国政府機関 L4	米国政府機関 L5 (DOD)	21Vianet が運営する中国
✅	✅	✅	❌

アクセス許可

この API の最小特権としてマークされているアクセス許可またはアクセス許可を選択します。 アプリで必要な場合にのみ、より高い特権のアクセス許可またはアクセス許可を使用します。 委任されたアクセス許可とアプリケーションのアクセス許可の詳細については、「 アクセス許可の種類」を参照してください。 これらのアクセス許可の詳細については、 アクセス許可のリファレンスを参照してください。

アクセス許可の種類	最小特権アクセス許可	特権の高いアクセス許可
委任 (職場または学校のアカウント)	SecurityIncident.Read.All	SecurityIncident.ReadWrite.All
委任 (個人用 Microsoft アカウント)	サポートされていません。	サポートされていません。
アプリケーション	SecurityIncident.Read.All	SecurityIncident.ReadWrite.All

HTTP 要求

GET /security/incidents

オプションのクエリ パラメーター

このメソッドは、応答のカスタマイズに役立つ次の OData クエリ パラメーターをサポートしています。 $count$filter$skip$top$expand

次のプロパティでは、assignedTo、分類、createdDateTime、判定、lastUpdateDateTime、重大度、および状態がサポート$filterされています。

改ページに使用 @odata.nextLink します。

使用例を次に示します。

GET /security/incidents?$count=true
GET /security/incidents?$filter={property}+eq+'{property-value}'
GET /security/incidents?$top=10

一般的な情報については、「OData クエリ パラメーター」を参照してください。

要求ヘッダー

名前	説明
Authorization	ベアラー {token}。 必須です。 認証と承認の詳細については、こちらをご覧ください。

要求本文

このメソッドには、要求本文を指定しません。

応答

成功した場合、このメソッドは 200 OK 応答コードと、応答本文の インシデント オブジェクトのコレクションを返します。

例

例 1: すべてのインシデントを一覧表示する

要求

次の例は要求を示しています。

HTTP

GET https://graph.microsoft.com/v1.0/security/incidents

C#

// Code snippets are only available for the latest version. Current version is 5.x

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Security.Incidents.GetAsync();

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

CLI

// THE CLI IS IN PREVIEW. NON-PRODUCTION USE ONLY
mgc security incidents list

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

Go

import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  //other-imports
)

graphClient := msgraphsdk.NewGraphServiceClientWithCredentials(cred, scopes)



incidents, err := graphClient.Security().Incidents().Get(context.Background(), nil)

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

Java

// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

com.microsoft.graph.models.security.IncidentCollectionResponse result = graphClient.security().incidents().get();

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

JavaScript

const options = {
	authProvider,
};

const client = Client.init(options);

let incidents = await client.api('/security/incidents')
	.get();

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

PHP

<?php
use Microsoft\Graph\GraphServiceClient;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);


$result = $graphServiceClient->security()->incidents()->get()->wait();

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

PowerShell

Import-Module Microsoft.Graph.Security

Get-MgSecurityIncident

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

Python

from msgraph import GraphServiceClient

graph_client = GraphServiceClient(credentials, scopes)


result = await graph_client.security.incidents.get()

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

応答

次の例は応答を示しています。

注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。

HTTP/1.1 200 OK
Content-Type: application/json

{
  "value": [
    {
        "@odata.type": "#microsoft.graph.security.incident",
        "id": "2972395",
        "incidentWebUrl": "https://security.microsoft.com/incidents/2972395?tid=12f988bf-16f1-11af-11ab-1d7cd011db47",
        "redirectIncidentId": null,
        "tenantId": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
        "displayName": "Multi-stage incident involving Initial access & Command and control on multiple endpoints reported by multiple sources",
        "createdDateTime": "2021-08-13T08:43:35.5533333Z",
        "lastUpdateDateTime": "2021-09-30T09:35:45.1133333Z",
        "assignedTo": "KaiC@contoso.com",
        "classification": "TruePositive",
        "determination": "MultiStagedAttack",
        "status": "Active",
        "severity": "Medium",
        "customTags": [
          "Demo"
        ],
        "comments": [
          {
		        "comment": "Demo incident",
		        "createdBy": "DavidS@contoso.com",
		        "createdTime": "2021-09-30T12:07:37.2756993Z"
          }
        ],
        "systemTags" : [
            "Defender Experts"
        ],
        "description" : "Microsoft observed Raspberry Robin worm activity spreading through infected USB on multiple devices in your environment. From available intel, these infections could be a potential precursor activity to ransomware deployment. ..."
    }
  ]
}

例 2: アラートを含むすべてのインシデントを一覧表示する

要求

HTTP

GET https://graph.microsoft.com/v1.0/security/incidents?$expand=alerts

C#

// Code snippets are only available for the latest version. Current version is 5.x

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Security.Incidents.GetAsync((requestConfiguration) =>
{
	requestConfiguration.QueryParameters.Expand = new string []{ "alerts" };
});

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

CLI

// THE CLI IS IN PREVIEW. NON-PRODUCTION USE ONLY
mgc security incidents list --expand "alerts"

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

Go

import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  graphsecurity "github.com/microsoftgraph/msgraph-sdk-go/security"
	  //other-imports
)

graphClient := msgraphsdk.NewGraphServiceClientWithCredentials(cred, scopes)


requestParameters := &graphsecurity.SecurityIncidentsRequestBuilderGetQueryParameters{
	Expand: [] string {"alerts"},
}
configuration := &graphsecurity.SecurityIncidentsRequestBuilderGetRequestConfiguration{
	QueryParameters: requestParameters,
}

incidents, err := graphClient.Security().Incidents().Get(context.Background(), configuration)

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

Java

// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

com.microsoft.graph.models.security.IncidentCollectionResponse result = graphClient.security().incidents().get(requestConfiguration -> {
	requestConfiguration.queryParameters.expand = new String []{"alerts"};
});

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

JavaScript

const options = {
	authProvider,
};

const client = Client.init(options);

let incidents = await client.api('/security/incidents')
	.expand('alerts')
	.get();

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

PHP

<?php
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Security\Incidents\IncidentsRequestBuilderGetRequestConfiguration;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestConfiguration = new IncidentsRequestBuilderGetRequestConfiguration();
$queryParameters = IncidentsRequestBuilderGetRequestConfiguration::createQueryParameters();
$queryParameters->expand = ["alerts"];
$requestConfiguration->queryParameters = $queryParameters;


$result = $graphServiceClient->security()->incidents()->get($requestConfiguration)->wait();

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

PowerShell

Import-Module Microsoft.Graph.Security

Get-MgSecurityIncident -ExpandProperty "alerts" 

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

Python

from msgraph import GraphServiceClient
from msgraph.generated.security.incidents.incidents_request_builder import IncidentsRequestBuilder

graph_client = GraphServiceClient(credentials, scopes)

query_params = IncidentsRequestBuilder.IncidentsRequestBuilderGetQueryParameters(
		expand = ["alerts"],
)

request_configuration = IncidentsRequestBuilder.IncidentsRequestBuilderGetRequestConfiguration(
query_parameters = query_params,
)

result = await graph_client.security.incidents.get(request_configuration = request_configuration)

プロジェクトに SDK を追加し、authProvider インスタンスを作成する方法の詳細については、SDK のドキュメントを参照してください。

応答

注: ここに示す応答オブジェクトは、読みやすさのために短縮されている場合があります。

HTTP/1.1 200 OK
Content-Type: application/json

{
  "value": [
    {
        "@odata.type": "#microsoft.graph.security.incident",
        "id": "2972395",
        "incidentWebUrl": "https://security.microsoft.com/incidents/2972395?tid=12f988bf-16f1-11af-11ab-1d7cd011db47",
        "redirectIncidentId": null,
        "tenantId": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
        "displayName": "Multi-stage incident involving Initial access & Command and control on multiple endpoints reported by multiple sources",
        "createdDateTime": "2021-08-13T08:43:35.5533333Z",
        "lastUpdateDateTime": "2021-09-30T09:35:45.1133333Z",
        "assignedTo": "KaiC@contoso.com",
        "classification": "truePositive",
        "determination": "multiStagedAttack",
        "status": "active",
        "severity": "medium",
        "tags": [
          "Demo"
        ],
        "comments": [
          {
		        "comment": "Demo incident",
		        "createdBy": "DavidS@contoso.com",
		        "createdTime": "2021-09-30T12:07:37.2756993Z"
          }
        ],
		"systemTags" : [
            "Defender Experts"
        ],
        "description" : "Microsoft observed Raspberry Robin worm activity spreading through infected USB on multiple devices in your environment. From available intel, these infections could be a potential precursor activity to ransomware deployment. ...",
        "alerts": [
            {
                "@odata.type": "#microsoft.graph.security.alert",
                "id": "da637551227677560813_-961444813",
                "providerAlertId": "da637551227677560813_-961444813",
                "incidentId": "28282",
                "status": "new",
                "severity": "low",
                "classification": "unknown",
                "determination": "unknown",
                "serviceSource": "microsoftDefenderForEndpoint",
                "detectionSource": "antivirus",
                "detectorId": "e0da400f-affd-43ef-b1d5-afc2eb6f2756",
                "tenantId": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
                "title": "Suspicious execution of hidden file",
                "description": "A hidden file has been launched. This activity could indicate a compromised host. Attackers often hide files associated with malicious tools to evade file system inspection and defenses.",
                "recommendedActions": "Collect artifacts and determine scope\n�\tReview the machine timeline for suspicious activities that may have occurred before and after the time of the alert, and record additional related artifacts (files, IPs/URLs) \n�\tLook for the presence of relevant artifacts on other systems. Identify commonalities and differences between potentially compromised systems.\n�\tSubmit relevant files for deep analysis and review resulting detailed behavioral information.\n�\tSubmit undetected files to the MMPC malware portal\n\nInitiate containment & mitigation \n�\tContact the user to verify intent and initiate local remediation actions as needed.\n�\tUpdate AV signatures and run a full scan. The scan might reveal and remove previously-undetected malware components.\n�\tEnsure that the machine has the latest security updates. In particular, ensure that you have installed the latest software, web browser, and Operating System versions.\n�\tIf credential theft is suspected, reset all relevant users passwords.\n�\tBlock communication with relevant URLs or IPs at the organization�s perimeter.",
                "category": "DefenseEvasion",
                "assignedTo": null,
                "alertWebUrl": "https://security.microsoft.com/alerts/da637551227677560813_-961444813?tid=b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
                "incidentWebUrl": "https://security.microsoft.com/incidents/28282?tid=b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
                "actorDisplayName": null,
                "threatDisplayName": null,
                "threatFamilyName": null,
                "mitreTechniques": [
                    "T1564.001"
                ],
                "createdDateTime": "2021-04-27T12:19:27.7211305Z",
                "lastUpdateDateTime": "2021-05-02T14:19:01.3266667Z",
                "resolvedDateTime": null,
                "firstActivityDateTime": "2021-04-26T07:45:50.116Z",
                "lastActivityDateTime": "2021-05-02T07:56:58.222Z",
                "comments": [],
                "evidence": [
                    {
                        "@odata.type": "#microsoft.graph.security.deviceEvidence",
                        "createdDateTime": "2021-04-27T12:19:27.7211305Z",
                        "verdict": "unknown",
                        "remediationStatus": "none",
                        "remediationStatusDetails": null,
                        "firstSeenDateTime": "2020-09-12T07:28:32.4321753Z",
                        "mdeDeviceId": "73e7e2de709dff64ef64b1d0c30e67fab63279db",
                        "azureAdDeviceId": null,
                        "deviceDnsName": "tempDns",
                        "osPlatform": "Windows10",
                        "osBuild": 22424,
                        "version": "Other",
                        "healthStatus": "active",
                        "riskScore": "medium",
                        "rbacGroupId": 75,
                        "rbacGroupName": "UnassignedGroup",
                        "onboardingStatus": "onboarded",
                        "defenderAvStatus": "unknown",
                        "ipInterfaces": [
                            "1.1.1.1"
                        ],
                        "loggedOnUsers": [],
                        "roles": [
                            "compromised"
                        ],
                        "detailedRoles": [
                          "Main device"
                        ],
                        "tags": [
                            "Test Machine"
                        ],
                        "vmMetadata": {
                            "vmId": "ca1b0d41-5a3b-4d95-b48b-f220aed11d78",
                            "cloudProvider": "azure",
                            "resourceId": "/subscriptions/8700d3a3-3bb7-4fbe-a090-488a1ad04161/resourceGroups/WdatpApi-EUS-STG/providers/Microsoft.Compute/virtualMachines/NirLaviTests",
                            "subscriptionId": "8700d3a3-3bb7-4fbe-a090-488a1ad04161"
	                    }
                    },
                    {
                        "@odata.type": "#microsoft.graph.security.fileEvidence",
                        "createdDateTime": "2021-04-27T12:19:27.7211305Z",
                        "verdict": "unknown",
                        "remediationStatus": "none",
                        "remediationStatusDetails": null,
                        "detectionStatus": "detected",
                        "mdeDeviceId": "73e7e2de709dff64ef64b1d0c30e67fab63279db",
                        "roles": [],
                        "detailedRoles": [
                          "Referred in command line",
                        ],
                        "tags": [],
                        "fileDetails": {
                            "sha1": "5f1e8acedc065031aad553b710838eb366cfee9a",
                            "sha256": "8963a19fb992ad9a76576c5638fd68292cffb9aaac29eb8285f9abf6196a7dec",
                            "fileName": "MsSense.exe",
                            "filePath": "C:\\Program Files\\temp",
                            "fileSize": 6136392,
                            "filePublisher": "Microsoft Corporation",
                            "signer": null,
                            "issuer": null
                        }
                    },
                    {
                        "@odata.type": "#microsoft.graph.security.processEvidence",
                        "createdDateTime": "2021-04-27T12:19:27.7211305Z",
                        "verdict": "unknown",
                        "remediationStatus": "none",
                        "remediationStatusDetails": null,
                        "processId": 4780,
                        "parentProcessId": 668,
                        "processCommandLine": "\"MsSense.exe\"",
                        "processCreationDateTime": "2021-08-12T12:43:19.0772577Z",
                        "parentProcessCreationDateTime": "2021-08-12T07:39:09.0909239Z",
                        "detectionStatus": "detected",
                        "mdeDeviceId": "73e7e2de709dff64ef64b1d0c30e67fab63279db",
                        "roles": [],
                        "detailedRoles": [],
                        "tags": [],
                        "imageFile": {
                            "sha1": "5f1e8acedc065031aad553b710838eb366cfee9a",
                            "sha256": "8963a19fb992ad9a76576c5638fd68292cffb9aaac29eb8285f9abf6196a7dec",
                            "fileName": "MsSense.exe",
                            "filePath": "C:\\Program Files\\temp",
                            "fileSize": 6136392,
                            "filePublisher": "Microsoft Corporation",
                            "signer": null,
                            "issuer": null
                        },
                        "parentProcessImageFile": {
                            "sha1": null,
                            "sha256": null,
                            "fileName": "services.exe",
                            "filePath": "C:\\Windows\\System32",
                            "fileSize": 731744,
                            "filePublisher": "Microsoft Corporation",
                            "signer": null,
                            "issuer": null
                        },
                        "userAccount": {
                            "accountName": "SYSTEM",
                            "domainName": "NT AUTHORITY",
                            "userSid": "S-1-5-18",
                            "azureAdUserId": null,
                            "userPrincipalName": null
                        }
                    },
                    {
                        "@odata.type": "#microsoft.graph.security.registryKeyEvidence",
                        "createdDateTime": "2021-04-27T12:19:27.7211305Z",
                        "verdict": "unknown",
                        "remediationStatus": "none",
                        "remediationStatusDetails": null,
                        "registryKey": "SYSTEM\\CONTROLSET001\\CONTROL\\WMI\\AUTOLOGGER\\SENSEAUDITLOGGER",
                        "registryHive": "HKEY_LOCAL_MACHINE",
                        "roles": [],
                        "detailedRoles": [],
                        "tags": [],
                    }
                ]
            }
        ]
    }
  ]
}