Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пространство имен: microsoft.graph.security
Этот ресурс соответствует последнему пакету оповещений, созданных API безопасности Microsoft Graph. Этот ресурс представляет собой потенциальные проблемы безопасности в клиенте клиента, обнаруженном Microsoft 365 Defender или поставщиком безопасности, интегрированным с Microsoft 365 Defender.
Когда поставщик безопасности обнаруживает угрозу, он создает оповещение в системе. Microsoft 365 Defender извлекает эти данные оповещения от поставщика безопасности и использует данные оповещений, чтобы вернуть ценные подсказки в ресурсе оповещений о любой связанной атаке, затронутых ресурсах и связанных доказательствах. Он автоматически сопоставляет другие оповещения с теми же методами атаки или того же злоумышленника с инцидентом , чтобы обеспечить более широкий контекст атаки. Агрегирование предупреждений таким способом упрощает аналитикам выполнение обобщенных расследований угроз и реагирование на такие угрозы.
Примечание.
Этот ресурс является одним из двух типов оповещений, которые предлагает версия 1.0 API безопасности Microsoft Graph. Дополнительные сведения см. в разделе Оповещения.
Методы
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Список | Коллекция microsoft.graph.security.alert | Получите список ресурсов оповещений , созданных для отслеживания подозрительных действий в организации. |
| Получение | microsoft.graph.security.alert | Получите свойства объекта оповещения в организации на основе указанного свойства идентификатора оповещения. |
| Обновление | microsoft.graph.security.alert | Обновите свойства объекта оповещения в организации на основе указанного свойства идентификатора оповещения. |
| Создание примечания | alertComment | Создайте комментарий для существующего оповещения на основе указанного свойства идентификатора оповещения. |
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| actorDisplayName | String | Злоумышленник или группа действий, связанные с этим оповещением. |
| additionalData | microsoft.graph.security.dictionary | Коллекция других свойств оповещений, включая определяемые пользователем свойства. Все пользовательские сведения, определенные в оповещении, и любое динамическое содержимое в сведениях об оповещении хранятся здесь. |
| alertPolicyId | String | Идентификатор политики, которая создала оповещение и заполняется при наличии определенной политики, создающей оповещение, будь то настроенная клиентом или встроенная политика. |
| alertWebUrl | String | URL-адрес страницы оповещений портала Microsoft 365 Defender. |
| assignedTo | String | Владелец оповещения или значение NULL, если владелец не назначен. |
| category | String | Категория цепочки атак, к которой относится оповещение. Согласовано с платформой MITRE ATT&CK. |
| classification | microsoft.graph.security.alertClassification | Указывает, представляет ли оповещение реальную угрозу. Допустимые значения: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| comments | Коллекция microsoft.graph.security.alertComment | Массив комментариев, созданный командой по операциям безопасности (SecOps) в процессе управления оповещениями. |
| createdDateTime | DateTimeOffset | Время создания оповещения в Microsoft 365 Defender. |
| customDetails | microsoft.graph.security.dictionary | Определяемые пользователем настраиваемые поля со строковыми значениями. |
| description | String | Строковое значение, описывающее каждое оповещение. |
| detectionSource | microsoft.graph.security.detectionSource | Технология обнаружения или датчик, который идентифицировал важный компонент или действие. |
| detectorId | String | Идентификатор детектора, активировав оповещение. |
| Определение | microsoft.graph.security.alertDetermination | Указывает результат исследования, указывает, представляет ли оповещение истинную атаку, и если да, то характер атаки. Возможные значения: unknown, , apt, malware, securityPersonnelsecurityTesting, , unwantedSoftwareother, , multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, , notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication, . unknownFutureValue |
| Доказательства | Коллекция microsoft.graph.security.alertEvidence | Коллекция доказательств, связанных с оповещением. |
| firstActivityDateTime | DateTimeOffset | Самое раннее действие, связанное с оповещением. |
| id | String | Уникальный идентификатор для представления ресурса оповещений . |
| incidentId | String | Уникальный идентификатор, представляющий инцидент , с которым связан ресурс оповещений . |
| incidentWebUrl | String | URL-адрес страницы инцидента на портале Microsoft 365 Defender. |
| investigationState | microsoft.graph.security.investigationState | Сведения о текущем состоянии расследования. Возможные значения: unknown, , terminated, successfullyRemediated, benignfailed, , partiallyRemediated, running, pendingApproval, pendingResourcequeued, innerFailure, , preexistingAlert, unsupportedOs, , unsupportedAlertType, suppressedAlert, partiallyInvestigated, terminatedByUser, , . unknownFutureValueterminatedBySystem |
| lastActivityDateTime | DateTimeOffset | Самое старое действие, связанное с оповещением. |
| lastUpdateDateTime | DateTimeOffset | Время последнего обновления оповещения в Microsoft 365 Defender. |
| mitreTechniques | Collection(Edm.String) | Методы атаки в соответствии с MITRE ATT&платформы CK. |
| productName | String | Имя продукта, опубликовавшего это оповещение. |
| providerAlertId | String | Идентификатор оповещения, как оно отображается в продукте поставщика безопасности, который создал оповещение. |
| recommendedActions | String | Рекомендуемые действия по реагированию и исправлению в случае создания этого оповещения. |
| resolvedDateTime | DateTimeOffset | Время, когда оповещение было разрешено. |
| serviceSource | microsoft.graph.security.serviceSource | Служба или продукт, создавший это оповещение. Дополнительные сведения см. в разделе Значения serviceSource. |
| severity | microsoft.graph.security.alertSeverity | Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют самого непосредственного внимания. Допустимые значения: unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.alertStatus | Состояние оповещения. Дополнительные сведения см. в разделе Значения alertStatus. |
| tenantId | String | Клиент Microsoft Entra, в который было создано оповещение. |
| threatDisplayName | String | Угроза, связанная с этим оповещением. |
| threatFamilyName | String | Семейство угроз, связанное с этим оповещением. |
| title | String | Краткое идентифицируемое строковое значение, описывающее оповещение. |
| systemTags | Коллекция строк | Системные теги, связанные с оповещением. |
значения alertClassification
| Member | Описание |
|---|---|
| unknown | Оповещение еще не классифицировано. |
| falsePositive | Оповещение является ложноположительным и не обнаруживает вредоносные действия. |
| TruePositive | Оповещение является истинно положительным и обнаружено вредоносное действие. |
| informationalExpectedActivity | Оповещение является неопасным положительным и обнаруживает потенциально вредоносные действия доверенного или внутреннего пользователя, например тестирование безопасности. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
значения alertDetermination
| Member | Описание |
|---|---|
| unknown | Значение определения еще не задано. |
| Apt | Истинно положительное оповещение, обнаруживающее расширенную постоянную угрозу. |
| вредоносная программа | Истинное положительное оповещение об обнаружении вредоносного программного обеспечения. |
| securityPersonnel | Истинно положительное оповещение, обнаруживающее допустимые подозрительные действия, выполненные кем-то из группы безопасности клиента. |
| securityTesting | Оповещение обнаружило допустимые подозрительные действия, выполненные в рамках известного тестирования безопасности. |
| unwantedSoftware | Оповещение обнаружило нежелательное программное обеспечение. |
| Других | Другое определение. |
| multiStagedAttack | Истинно положительное оповещение, обнаруживающее несколько этапов атаки с цепочкой завершения. |
| compromisedAccount | Истинно положительное оповещение о том, что учетные данные предполагаемого пользователя были скомпрометированы или украдены. |
| фишинг | Истинно положительное оповещение, обнаруживающее фишинговое сообщение электронной почты. |
| maliciousUserActivity | Истинно положительное оповещение о том, что вошедший в систему пользователь выполняет вредоносные действия. |
| notMalicious | Ложное оповещение, нет подозрительных действий. |
| notEnoughDataToValidate | Ложное оповещение без достаточной информации, чтобы доказать обратное. |
| confirmedActivity | Оповещение поймало истинное подозрительное действие, которое считается ОК, так как это известное действие пользователя. |
| lineOfBusinessApplication | Оповещение поймало истинное подозрительное действие, которое считается ОК, так как это известное и подтвержденное внутреннее приложение. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
значения investigationState
| Member | Описание |
|---|---|
| unknown | Неизвестное состояние исследования. |
| Прекращено | Расследование было прекращено до завершения. |
| успешно выполнено | Исследование успешно завершено со всеми действиями по исправлению. |
| Доброкачественные | Исследование завершено без попыток исправления. |
| Сбой при | Проблема прервала расследование, и теперь оно не может быть завершено. |
| partiallyRemediated | Исследование завершено с успешно выполненными планами исправления. |
| Запущена | В настоящее время ведется расследование. |
| pendingApproval | Расследование приостановлено; некоторые действия требуют проверки и утверждения пользователем. |
| pendingResource | Исследование приостанавливается до тех пор, пока не будут доступны необходимые ресурсы. |
| Очереди | Исследование ставится в очередь и ожидает начала. |
| innerFailure | В ходе исследования обнаружен внутренний сбой системы. |
| preexistingAlert | Исследование не было начато, так как аналогичное оповещение уже существует. |
| неподдерживаемые объекты | Исследование не может быть продолжено, так как операционная система не поддерживается. |
| unsupportedAlertType | Исследование не может быть продолжено, так как тип оповещения не поддерживается. |
| suppressedAlert | Исследование было подавлено на основе настроенных правил или политик. |
| частичнорасследоно | Расследование было частично завершено. |
| terminatedByUser | Расследование было остановлено пользователем до его завершения. |
| terminatedBySystem | Расследование было остановлено системой до того, как оно было завершено. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
alertSeverity values
| Member | Описание |
|---|---|
| unknown | Неизвестная серьезность. |
| Информационных | Оповещения, которые могут быть неосторожными или считаются вредными для сети, но могут повысить осведомленность организации о потенциальных проблемах безопасности. |
| Низкой | Оповещения об угрозах, связанных с распространенными вредоносными программами. Например, хакерские инструменты, невредоносные средства взлома, такие как выполнение команд просмотра и очистка журналов, которые часто не указывают на расширенную угрозу, направленную на организацию. Она также может поступать из изолированного средства безопасности, которое тестирует пользователь в вашей организации. |
| medium | Оповещения, созданные в результате обнаружения и реагирования на поведение после нарушения безопасности, которые могут быть частью расширенной постоянной угрозы (APT). Этот уровень серьезности включает в себя наблюдаемое поведение, типичное для этапов атаки, аномальное изменение реестра, выполнение подозрительных файлов и т. д. Хотя некоторые из них могут быть вызваны внутренним тестированием безопасности, они допустимы и требуют изучения, так как они могут быть частью расширенной атаки. |
| Высокой | Обычно встречаются оповещения, связанные с расширенными постоянными угрозами (APT). Эти оповещения указывают на высокий риск из-за серьезности ущерба, который они могут нанести активам. Некоторые примеры: действия с инструментами кражи учетных данных, действия программ-шантажистов, не связанные с какой-либо группой, незаконное изменение датчиков безопасности или любые вредоносные действия, указывающие на злоумышленника человека. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
Связи
Отсутствуют.
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.security.alert",
"actorDisplayName": "String",
"additionalData": {"@odata.type": "microsoft.graph.security.dictionary"},
"alertWebUrl": "String",
"assignedTo": "String",
"category": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customDetails": {"@odata.type": "microsoft.graph.security.dictionary"},
"description": "String",
"detectionSource": "String",
"detectorId": "String",
"determination": "String",
"evidence": [{"@odata.type": "microsoft.graph.security.alertEvidence"}],
"firstActivityDateTime": "String (timestamp)",
"id": "String (identifier)",
"incidentId": "String",
"incidentWebUrl": "String",
"investigationState": "String",
"lastActivityDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"mitreTechniques": ["String"],
"productName": "String",
"providerAlertId": "String",
"recommendedActions": "String",
"resolvedDateTime": "String (timestamp)",
"serviceSource": "String",
"severity": "String",
"status": "String",
"systemTags" : ["String"],
"tenantId": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"title": "String"
}