Этот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Примечание
Устаревший API оповещений устарел и будет удален к апрелю 2026 г. Рекомендуется перейти на новый API оповещений и инцидентов .
Этот ресурс соответствует первому поколению оповещений в API безопасности Microsoft Graph, представляющих потенциальные проблемы безопасности в клиенте клиента, определяемые корпорацией Майкрософт или решением безопасности партнера.
Этот тип оповещений объединяет вызовы поддерживаемых поставщиков безопасности Azure и Microsoft 365 Defender, перечисленных в разделе Использование API безопасности Microsoft Graph. Он объединяет общие данные оповещений между различными доменами, что позволяет приложениям унифицировать и оптимизировать управление проблемами безопасности во всех интегрированных решениях.
Дополнительные сведения см. в примерах запросов в песочнице Graph.
Примечание
Этот ресурс является одним из двух типов оповещений, которые предлагает бета-версия API безопасности Microsoft Graph. Дополнительные сведения см. в разделе Оповещения.
| Метод | Возвращаемый тип | Описание |
|---|---|---|
| Получение оповещения | alert | Чтение свойств и связей объекта alert. |
| Обновление оповещения | alert | Обновление объекта alert. |
| Перечисление оповещений | Коллекция alert | Получение коллекции объектов alert. |
| Обновление нескольких оповещений | Коллекция alert | Обновление нескольких объектов оповещений. |
| Свойство | Тип | Описание |
|---|---|---|
| activityGroupName | String | Имя или псевдоним группы действий (злоумышленник), с которым связано это оповещение. |
| assignedTo | String | Имя аналитика, которому назначено оповещение для рассмотрения, изучения или исправления (поддерживает обновление). |
| azureSubscriptionId | String | Идентификатор подписки Azure, указываемый, если это оповещение связано с ресурсом Azure. |
| azureTenantId | String | Microsoft Entra идентификатор клиента. Обязательный атрибут. |
| category | String | Категория оповещения (например, credentialTheft, программа-шантажист). |
| closedDateTime | DateTimeOffset | Время закрытия оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z (поддерживает обновление). |
| cloudAppStates | Коллекция cloudAppSecurityState | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком об облачных приложениях, относящихся к оповещению. |
| comments | Коллекция String | Предоставляемые пользователями комментарии об оповещении (для управления пользовательскими оповещениями) (поддерживает обновление). |
| confidence | Int32 | Достоверность логики обнаружения (процентное значение от 1 до 100). |
| createdDateTime | DateTimeOffset | Время создания оповещения поставщиком оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. Обязательный. |
| description | String | Описание оповещения. |
| detectionIds | Коллекция String | Набор оповещений, связанных с объектом оповещения (каждое оповещение передается в SIEM как отдельная запись). |
| eventDateTime | DateTimeOffset | Время, когда произошло событие или события, которые служили триггером для создания оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. Обязательный атрибут. |
| feedback | alertFeedback | Отзыв аналитика об оповещении. Возможные значения: unknown, truePositive, falsePositive, benignPositive. Поддерживает обновление. |
| fileStates | Коллекция fileSecurityState | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о файлах, относящихся к оповещению. |
| historyStates | Коллекция alertHistoryState | Коллекция alertHistoryStates , содержащая журнал аудита всех обновлений, внесенных в оповещение. |
| hostStates | Коллекция hostSecurityState | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком об узлах, относящихся к оповещению. |
| id | String | GUID или уникальный идентификатор, созданный поставщиком. Только для чтения. Обязательный. |
| incidentIds | Коллекция String | Идентификаторы инцидентов, связанных с текущим оповещением. |
| lastModifiedDateTime | DateTimeOffset | Время последнего изменения объекта оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. |
| malwareStates | Коллекция malwareState | Аналитика угроз, относящаяся к вредоносным программам, связанным с оповещением. |
| networkConnections | Коллекция networkConnection | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о сетевых подключениях, относящихся к оповещению. |
| processes | Коллекция process | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о процессе или процессах, относящихся к оповещению. |
| recommendedActions | Коллекция String | Рекомендуемые поставщиком действия в ответ на оповещение (например, изоляция компьютера, применение двухфакторной проверки подлинности, повторное создание образа узла). |
| registryKeyStates | Коллекция registryKeyState | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о разделах реестра, относящихся к оповещению. |
| securityResources | Коллекция securityResource | Ресурсы, связанные с текущим оповещением. Например, для некоторых предупреждений это может быть значение ресурса Azure. |
| severity | alertSeverity | Серьезность оповещения, заданная поставщиком. Возможные значения: unknown, informational, low, medium, high. Обязательный атрибут. |
| sourceMaterials | Коллекция String | Гиперссылки (URI) на исходный материал, связанный с оповещением, например на пользовательский интерфейс поставщика для оповещений или поиск по журналам. |
| status | alertStatus | Оповещение о состоянии жизненного цикла (этапа). Возможные значения: unknown, newAlert, inProgress, resolved. (Поддерживает обновление). Обязательный атрибут. |
| tags | Коллекция String | Определяемые пользователем метки, которые могут применяться к оповещению и служить в качестве условий фильтра (например, "HVA", "SAW") (поддерживает обновление). |
| title | String | Заголовок оповещения. Обязательный атрибут. |
| triggers | Коллекция alertTrigger | Сведения, связанные с безопасностью, об определенных свойствах, запустивших оповещение (свойства, отображаемые в оповещении). Оповещения могут содержать сведения о нескольких пользователях, узлах, файлах, IP-адресах. Это поле указывает, какие свойства запустили создание оповещения. |
| userStates | Коллекция userSecurityState | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком об учетных записях пользователей, относящихся к оповещению. |
| vendorInformation | securityVendorInformation | Сложный тип, содержащий подробные сведения о безопасности продавца продукта или услуги, поставщика субпоставщика (например, продавец = Майкрософт; поставщик = ATP в Защитнике Windows; субпоставщик = AppLocker). Обязательный атрибут. |
| vulnerabilityStates | Коллекция vulnerabilityState | Аналитика угроз, относящаяся к одной или нескольким уязвимостям, связанным с оповещением. |
Отсутствуют.
В следующем представлении JSON показан тип ресурса.
{
"activityGroupName": "String",
"assignedTo": "String",
"azureSubscriptionId": "String",
"azureTenantId": "String",
"category": "String",
"closedDateTime": "String (timestamp)",
"cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
"comments": ["String"],
"confidence": 1024,
"createdDateTime": "String (timestamp)",
"description": "String",
"detectionIds": ["String"],
"eventDateTime": "String (timestamp)",
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
"historyStates": [{"@odata.type": "microsoft.graph.alertHistoryState"}],
"hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
"id": "String (identifier)",
"incidentIds": ["String"],
"lastModifiedDateTime": "String (timestamp)",
"malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
"networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
"processes": [{"@odata.type": "microsoft.graph.process"}],
"recommendedActions": ["String"],
"registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
"securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"sourceMaterials": ["String"],
"status": "@odata.type: microsoft.graph.alertStatus",
"tags": ["String"],
"title": "String",
"triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
"userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
"vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
"vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}
События
Создание интеллектуальных приложений
17 мар., 21 - 21 мар., 10
Присоединитесь к серии встреч для создания масштабируемых решений искусственного интеллекта на основе реальных вариантов использования с другими разработчиками и экспертами.
Зарегистрироваться