Compartilhar via


tipo de recurso de alerta (preterido)

Namespace: microsoft.graph

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.

Observação

A API de alertas legados foi preterida e será removida até abril de 2026. Recomendamos que migre para a nova API de alertas e incidentes .

Este recurso corresponde à primeira geração de alertas na API de segurança do Microsoft Graph, representando potenciais problemas de segurança no inquilino de um cliente que a Microsoft ou uma solução de segurança de parceiro identifica.

Este tipo de alertas federa chamadas de fornecedores de segurança suportados do Azure e do Microsoft 365 Defender listados em Utilizar a API de segurança do Microsoft Graph. Agrega dados de alerta comuns entre os diferentes domínios para permitir que as aplicações unifiquem e simplifiquem a gestão de problemas de segurança em todas as soluções integradas.

Para saber mais, veja exemplos de consulta no Explorador de Gráfico.

Observação

Este recurso é um dos dois tipos de alertas que a versão beta da API de segurança do Microsoft Graph oferece. Para obter mais informações, veja alertas.

Métodos

Método Tipo de retorno Descrição
Obter alerta alert Leia as propriedades e os relacionamentos do objeto de alerta.
Atualizar alertas alert Atualize um objeto de alerta.
Listar alertas conjunto alerta Obtenha uma coleção de objetos de alerta.
Atualizar vários alertas conjunto alerta Atualizar vários objetos de alerta.

Propriedades

Propriedade Tipo Descrição
activityGroupName String Nome ou alias do grupo de atividades (invasor) a que este alerta é atribuído.
assignedTo String Nome do analista ao qual o alerta está atribuído para triagem, investigação ou remediação (suporta atualização).
azureSubscriptionId String ID da assinatura do Azure, presente se o alerta estiver relacionado a um recurso do Azure.
azureTenantId String Microsoft Entra ID do inquilino. Obrigatório.
category Cadeia de caracteres Categoria do alerta (por exemplo, credentialTheft, ransomware).
closedDateTime DateTimeOffset Tempo em que o alerta foi fechado. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z (suporta atualização).
cloudAppStates conjunto cloudAppSecurityState Informações com estado relacionadas à segurança geradas pelo provedor sobre os aplicativos de nuvem relacionados a esse alerta.
comentários String collection Comentários fornecidos pelo cliente no alerta (gerenciamento de alerta de cliente) (suporta atualização).
confidence Int32 Confiança da lógica de detecção (porcentagem entre 1 e 100).
createdDateTime DateTimeOffset Hora em que o alerta foi criado pelo provedor de alerta. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. Obrigatório.
description String Descrição de alerta.
detectionIds String collection Conjunto de alertas relacionados a essa entidade de alerta (cada alerta é enviado ao SIEM como um registro separado).
eventDateTime DateTimeOffset Hora em que ocorreu o evento ou eventos que serviram de acionador para gerar o alerta. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. Obrigatório.
comentários alertFeedback Comentários do analista no alerta. Os valores possíveis são: unknown, truePositive, falsePositive, benignPositive. Suporta a atualização.
fileStates fileSecurityState Informações com estado relacionadas à segurança geradas pelo provedor sobre os arquivos relacionados a esse alerta.
historyStates coleção alertHistoryState Uma coleção de alertHistoryStates que inclui um registo de auditoria de todas as atualizações efetuadas a um alerta.
hostStates Conjunto hostSecurityState Informações com estado relacionadas à segurança geradas pelo provedor sobre o(s) host(s) relacionados a esse alerta.
id String Identificador GUID/exclusivo gerado pelo provedor. Somente leitura. Obrigatório.
incidentIds Coleção de cadeias de caracteres IDs de incidentes relacionados ao alerta atual.
lastModifiedDateTime DateTimeOffset Hora na qual entidade alerta foi modificada pela última vez. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z.
malwareStates conjunto malwareState Inteligência contra ameaças referentes ao malware relacionado a esse alerta.
networkConnections conjunto networkConnection Informações com estado relacionadas à segurança geradas pelo provedor sobre as conexões de rede relacionadas a esse alerta.
processos conjunto processo Informações com estado relacionadas à segurança geradas pelo provedor sobre o processo ou processos relacionados a esse alerta.
recommendedActions String collection Ações recomendadas pelo provedor/fornecedor a serem tomadas como resultado do alerta (por exemplo, isolar máquina, enforce2FA, host de imagem de imagem).
registryKeyStates conjunto registryKeyState Informações com estado relacionadas à segurança geradas pelo provedor sobre as chaves de registro relacionadas a esse alerta.
securityResources Coleção de securityResource Recursos relacionados ao alerta atual. Por exemplo, para alguns alertas, isso pode ter o valor de recurso do Azure.
severity alertSeverity Gravidade de alerta, definida pelo provedor/fornecedor. Os valores possíveis são: unknown, informational, low, medium, high. Obrigatório.
sourceMaterials String collection Hiperligações (URIs) para o material de origem relacionado com o alerta, por exemplo, a interface de utilizador do fornecedor para alertas ou pesquisa de registos.
status alertStatus Status de alerta de ciclo de vida (estágio). Os valores possíveis são: unknown, newAlert, inProgress, resolved. (suporta atualização). Obrigatório.
marcações Coleção de cadeias de caracteres Etiquetas definíveis pelo utilizador que podem ser aplicadas a um alerta e que podem servir como condições de filtro (por exemplo, "HVA", "SAW") (suporta atualização).
title String Título do alerta. Obrigatório.
gatilhos Conjunto alertTrigger Informações de segurança sobre propriedades específicas que dispararam o alerta (Propriedades aparecendo no alerta). Os alertas podem conter informações sobre vários usuários hosts, arquivos, endereços ip. Este campo indica quais propriedades acionaram a geração de alertas.
userStates Conjunto userSecurityState Informações com estado relacionadas à segurança geradas pelo provedor sobre as contas de usuários relacionadas a esse alerta.
vendorInformation securityVendorInformation Tipo complexo que contém detalhes sobre o fornecedor, provedor e subprovedor de produtos / serviços de segurança (por exemplo, fornecedor = Microsoft; provedor = Windows Defender ATP; subProvedor = AppLocker). Obrigatório.
vulnerabilityStates conjunto vulnerabilityState Inteligência de ameaças referente a uma ou mais vulnerabilidades relacionadas a este alerta.

Relações

Nenhum

Representação JSON

A representação JSON seguinte mostra o tipo de recurso.

{
  "activityGroupName": "String",
  "assignedTo": "String",
  "azureSubscriptionId": "String",
  "azureTenantId": "String",
  "category": "String",
  "closedDateTime": "String (timestamp)",
  "cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
  "comments": ["String"],
  "confidence": 1024,
  "createdDateTime": "String (timestamp)",
  "description": "String",
  "detectionIds": ["String"],
  "eventDateTime": "String (timestamp)",
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
  "historyStates": [{"@odata.type": "microsoft.graph.alertHistoryState"}],
  "hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
  "id": "String (identifier)",
  "incidentIds": ["String"],
  "lastModifiedDateTime": "String (timestamp)",
  "malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
  "networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
  "processes": [{"@odata.type": "microsoft.graph.process"}],
  "recommendedActions": ["String"],
  "registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
  "securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "sourceMaterials": ["String"],
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": ["String"],
  "title": "String",
  "triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
  "userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
  "vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
  "vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}