Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Espaço de nomes: microsoft.graph.security
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Representa uma ação de remediação para um incidente. Quando Especialistas do Microsoft Defender para XDR identifica uma ação necessária, cria uma tarefa para que possa rever e agir. Reveja e tome medidas nestas tarefas através do portal ou através desta API.
Herda de microsoft.graph.entity.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| List | microsoft.graph.security.incidentA coleção de tarefas | Obtenha objetos de tarefas de incidentes e as respetivas propriedades. |
| Get | microsoft.graph.security.incidentTask | Ler propriedades e relações de uma tarefa de incidente. |
| Atualizar | microsoft.graph.security.incidentTask | Atualize a status de uma tarefa de incidente. |
| Executar ação de resposta | Nenhum | Execute uma ação de remediação numa tarefa de incidente. Limitado aos tipos de ação suportados. |
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| actionStatus | microsoft.graph.security.incidentTaskActionStatus | A execução status da ação. Os valores possíveis são: notStarted, inProgress, partiallyCompleted, completed, failed, unknownFutureValue. Para obter mais informações, veja incidentTaskActionStatus values (Valores incidentTaskActionStatus). |
| actionType | microsoft.graph.security.incidentTaskActionType | A ação de remediação a executar. Os valores possíveis são: text, , isolateDevice, runAntiVirusScanstopAndQuarantineFile, collectInvestigationPackage, restrictAppExecution, submitIocRule, forceUserPasswordReset, disableUser, , markUserAsCompromised, requireSignIn, , hardDeleteEmail, softDeleteEmail, , unIsolateDevice, unRestrictAppExecution, , enableUser, . unknownFutureValue Para obter mais informações, veja incidentTaskActionType values (Valores incidentTaskActionType). |
| createdByDisplayName | Cadeia de caracteres | Nome da entidade que criou a tarefa. Somente leitura. |
| createdDateTime | DateTimeOffset | Tempo de criação da tarefa. Somente leitura. |
| description | Cadeia de caracteres | Descrição da ação de remediação. |
| displayName | String | Título da tarefa. |
| id | Cadeia de caracteres | Identificador GUID exclusivo para a tarefa. |
| lastModifiedByDisplayName | Cadeia de caracteres | Nome da entidade que atualizou a tarefa pela última vez. Somente leitura. |
| lastModifiedDateTime | DateTimeOffset | Hora da última atualização da tarefa. Somente leitura. |
| responseAction | microsoft.graph.security.incidentTaskResponseAction | A ação de resposta. |
| source | microsoft.graph.security.incidentTaskSource | Origem da tarefa. Os valores possíveis são: defenderExpertsGuidedResponse, defenderExpertsManagedResponse, unknownFutureValue. Para obter mais informações, veja incidentTaskSource values (Valores incidentTaskSource). |
| status | microsoft.graph.security.incidentTaskStatus | Status de tarefas atual. Esta propriedade é a única propriedade que pode atualizar. Os valores possíveis são: open, inProgress, completed, failed, notRelevant, unknownFutureValue. Para obter mais informações, veja incidentTaskStatus values (Valores incidentTaskStatus). |
incidentTaskActionStatus values (valores incidentTaskActionStatus)
| Member | Descrição |
|---|---|
| notStarted | A ação relacionada com a tarefa do incidente não é iniciada. |
| inProgress | A ação relacionada com a tarefa do incidente é inProgress. |
| parcialmente Concluído | A ação relacionada com a tarefa do incidente está parcialmente concluída. |
| concluído | A ação relacionada com a tarefa do incidente está concluída. |
| falha | A ação relacionada com a tarefa do incidente falhou. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
incidentTaskActionType valores
| Member | Descrição |
|---|---|
| texto | A ação pode ser qualquer texto livre, por exemplo, o SOC pode orientar o cliente para formatar o respetivo dispositivo. |
| isolateDevice | Utiliza Microsoft Defender para Ponto de Extremidade para aplicar isolamento de rede completo, impedindo que o dispositivo se ligue a qualquer aplicação ou serviço. |
| stopAndQuarantineFile | Utiliza Microsoft Defender para Ponto de Extremidade para eliminar um ficheiro do dispositivo. |
| runAntiVirusScan | Efetua Microsoft Defender análise do Antivírus no dispositivo. |
| collectInvestigationPackage | Utiliza Microsoft Defender para Ponto de Extremidade para recolher registos de dispositivos e armazena-os num ficheiro ZIP. |
| restrictAppExecution | Define restrições no dispositivo para permitir que apenas os executáveis assinados com um certificado emitido pela Microsoft sejam executados. |
| submitIocRule | Submeta a regra do COI. |
| forceUserPasswordReset | Força o utilizador a repor a palavra-passe. |
| disableUser | Impede temporariamente um utilizador de iniciar sessão no local. |
| markUserAsCompromised | Define o nível de risco dos utilizadores como "alto" no Azure Active Directory. |
| requireSignIn | Requer que o utilizador inicie sessão novamente. |
| hardDeleteEmail | Elimina a mensagem de e-mail. |
| softDeleteEmail | Move a mensagem de e-mail para a pasta eliminada. |
| unIsolateDevice | Reverte a ação de resposta isolateDevice. |
| unRestrictAppExecution | Reverte a ação de resposta restrictAppExecution. |
| enableUser | Reverte a ação de resposta disableUser. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
incidentTaskSource values (valores incidentTaskSource)
| Member | Descrição |
|---|---|
| defenderExpertsGuidedResponse | A tarefa de incidente dos Especialistas em Defender está pendente do cliente para execução. |
| defenderExpertsManagedResponse | A execução de tarefas de incidentes dos Especialistas em Defender é efetuada por Especialistas do Defender. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
incidentTaskStatus values (valores incidentTaskStatus)
| Member | Descrição |
|---|---|
| abrir | A tarefa do incidente está marcada como aberta. |
| inProgress | A tarefa do incidente está marcada como em curso. |
| concluído | A tarefa do incidente está marcada como concluída. |
| falha | A tarefa do incidente está marcada como falhada. A execução da falha na ação define a tarefa do incidente status também falhou. |
| notRelevant | A tarefa do incidente é marcada como não relevante. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
Relações
| Relação | Tipo | Descrição |
|---|---|---|
| incidente | microsoft.graph.security.incident | Obrigatório. O incidente que contém esta tarefa. Tem de conter um ID de incidente válido. |
Representação JSON
O JSON seguinte mostra a estrutura do tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.incidentTask",
"id": "String (identifier)",
"status": "String",
"source": "String",
"displayName": "String",
"description": "String",
"createdDateTime": "String (timestamp)",
"createdByDisplayName": "String",
"lastModifiedDateTime": "String (timestamp)",
"lastModifiedByDisplayName": "String",
"actionStatus": "String",
"actionType": "String",
"incident": {
"@odata.type": "microsoft.graph.security.incident",
"id": "String"
}
}