Поделиться через

Тип ресурса alertEvidence

  • Статья

Пространство имен: microsoft.graph.security

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Представляет доказательства, связанные с оповещением.

Базовый тип alertEvidence и производные типы доказательств предоставляют средства для организации и отслеживания расширенных данных о каждом артефакте, связанном с оповещением. Например, оповещение о входе IP-адреса злоумышленника в облачную службу с помощью скомпрометированного пользователя может отслеживать следующие доказательства:

Этот ресурс является базовым типом для следующих типов доказательств:

Свойства

Свойство Тип Описание
createdDateTime DateTimeOffset Дата и время создания свидетельства и добавления в оповещение. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z.
detailedRoles Коллекция строк Подробное описание роли сущности в оповещении. Значения имеют свободную форму.
remediationStatus microsoft.graph.security.evidenceRemediationStatus Состояние предпринятого действия по исправлению. Допустимые значения: none, remediated, prevented, blocked, notFound, unknownFutureValue.
remediationStatusDetails String Сведения о состоянии исправления.
roles Коллекция microsoft.graph.security.evidenceRole Роль/с, которую сущность доказательства представляет в оповещении, например IP-адрес, связанный с злоумышленником, имеет роль доказательства Злоумышленник.
tags Коллекция String Массив настраиваемых тегов, связанных с экземпляром доказательства, например для обозначения группы устройств, высокоценных ресурсов и т. д.
Приговор microsoft.graph.security.evidenceVerdict Решение, принятое автоматизированным исследованием. Допустимые значения: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue.

значения detectionSource

Значение Описание
Обнаружены Обнаружен продукт выполняемой угрозы.
Заблокирован Угроза устранена во время выполнения.
Предотвратить Не удалось предотвратить возникновение угрозы (запуск, скачивание и т. д.).
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.

Значения evidenceRemediationStatus

Member Описание
none Угрозы не найдены.
исправлено Действие по исправлению успешно завершено.
Предотвратить Не удалось выполнить угрозу.
Заблокирован Угроза была заблокирована во время выполнения.
notFound Доказательства не найдены.
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.

Значения evidenceRole

Member Описание
unknown Роль доказательства неизвестна.
Контекстной Сущность, которая возникла, вероятно, безвредная, но была сообщена как побочный эффект действия злоумышленника, например, для запуска вредоносной службы использовался процесс services.exe.
Отсканированных Сущность, определяемая как целевой объект для сканирования или рекогносцировки, например для сканирования сети использовался сканер портов.
source Сущность, из которой произошло действие, например устройство, пользователь, IP-адрес и т. д.
Назначения Сущность, в который было отправлено действие, например устройство, пользователь, IP-адрес и т. д.
создано Сущность была создана в результате действий злоумышленника, например, была создана учетная запись пользователя.
Добавлено Сущность была добавлена в результате действий злоумышленника. Например, учетная запись пользователя была добавлена в группу разрешений.
Скомпрометированы Сущность была скомпрометирована и находится под контролем злоумышленника. Например, учетная запись пользователя была скомпрометирована и использована для входа в облачную службу.
edited Сущность была изменена или изменена злоумышленником. Например, раздел реестра для службы был изменен так, чтобы он указывал на расположение новых вредоносных полезных данных.
Напали Сущность подверглась атаке. Например, устройство было направлено на DDoS-атаку.
Злоумышленник Сущность представляет злоумышленника. Например, IP-адрес злоумышленника обнаружил вход в облачную службу с помощью скомпрометированного пользователя.
commandAndControl Сущность используется для управления и управления. Например, домен C2 (команд и управления), используемый вредоносными программами.
Загружен Сущность была загружена процессом под контролем злоумышленника. Например, библиотека DLL была загружена в процесс, контролируемый злоумышленником.
Подозрительных Сущность подозревается в злонамеренном или контролируемом злоумышленником, но не была инкриминирована.
policyViolator Сущность является нарушителем определяемой клиентом политики.
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.

Значения evidenceRemediationStatus

Member Описание
unknown Приговор по доказательствам не был определен.
Подозрительных Рекомендуемые действия по исправлению в ожидании утверждения.
Вредоносных Доказательства были определены как вредоносные.
Чистый Угроза не обнаружена — доказательства неопасные.
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.

значения evidenceVerdict

Member Описание
unknown Приговор по доказательствам не был определен.
Подозрительных Рекомендуемые действия по исправлению в ожидании утверждения.
Вредоносных Доказательства были определены как вредоносные.
NoThreatsFound Угроза не обнаружена — доказательства неопасные.
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.

Связи

Отсутствуют.

Представление JSON

В следующем представлении JSON показан тип ресурса.

{
  "@odata.type": "#microsoft.graph.security.alertEvidence",
  "createdDateTime": "String (timestamp)",
  "verdict": "String",
  "remediationStatus": "String",
  "remediationStatusDetails": "String",
  "roles": [
    "String"
  ],
  "detailedRoles": [
    "String"
  ],
  "tags": [
    "String"
  ]
}