Этот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
Пространство имен: microsoft.graph.security
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Инцидент в Microsoft 365 Defender — это коллекция связанных экземпляров оповещений и связанных метаданных, отражающая историю атаки в клиенте.
Службы и приложения Microsoft 365 создают оповещения при обнаружении подозрительного или вредоносного события или действия. Отдельные оповещения предоставляют ценные подсказки о завершенной или продолжающейся атаке. Однако в атаках обычно используются различные методы против различных типов сущностей, например устройств, пользователей и почтовых ящиков. Это приводит к созданию нескольких оповещений для нескольких сущностей в клиенте. Поскольку объединение отдельных оповещений для получения представления об атаке может быть сложной задачей и требовать много времени, Microsoft 365 Defender автоматически объединяет оповещения и связанную с ними информацию в инцидент.
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Получение списка инцидентов | Коллекция microsoft.graph.security.incident | Получите список объектов инцидентов , созданных Microsoft 365 Defender для отслеживания атак в организации. |
| Получение инцидента | microsoft.graph.security.incident | Чтение свойств и связей объекта инцидента . |
| Обновление данных об инциденте | microsoft.graph.security.incident | Обновление свойств объекта инцидента . |
| Создание комментария для инцидента | alertComment | Создайте комментарий для существующего инцидента на основе указанного свойства идентификатора инцидента. |
| Свойство | Тип | Описание |
|---|---|---|
| assignedTo | String | Владелец инцидента или значение NULL, если владелец не назначен. Бесплатный редактируемый текст. |
| classification | microsoft.graph.security.alertClassification | Спецификация инцидента. Возможные значения: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| comments | Коллекция microsoft.graph.security.alertComment | Массив комментариев, созданный командой по операциям безопасности (SecOps) при управлении инцидентом. |
| createdDateTime | DateTimeOffset | Время создания инцидента. |
| customTags | Коллекция строк | Коллекция настраиваемых тегов, связанных с инцидентом. |
| description | String | Описание инцидента. |
| description | String | Строка в формате форматированного текста, описывающая инцидент. |
| решимость | microsoft.graph.security.alertDetermination | Указывает определение инцидента. Возможные значения: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue. |
| displayName | String | Имя инцидента. |
| id | String | Уникальный идентификатор, представляющий инцидент. |
| incidentWebUrl | String | URL-адрес страницы инцидента на портале Microsoft 365 Defender. |
| lastModifiedBy | String | Удостоверение, последнее изменившее инцидент. |
| lastUpdateDateTime | DateTimeOffset | Время последнего обновления инцидента. |
| recommendedActions | String | Строка форматированного текста, представляющая действия, которые необходимо выполнить для устранения инцидента. |
| recommendedHuntingQueries | Collection(microsoft.graph.security.recommendedHuntingQuery) | Список запросов язык запросов Kusto охоты (KQL), связанных с инцидентом. |
| redirectIncidentId | String | Заполняется только в том случае, если инцидент сгруппирован вместе с другим инцидентом в рамках логики обработки инцидентов. В этом случае свойство status имеет значение redirected. |
| resolveingComment | String | Входные данные пользователя, объясняющие разрешение инцидента и выбор классификации. Это свойство содержит свободный редактируемый текст. |
| severity | alertSeverity | Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют самого непосредственного внимания. Возможные значения: unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.incidentStatus | Состояние инцидента. Возможные значения: active, resolved, inProgress, redirected, unknownFutureValueи awaitingAction. |
| summary | String | Обзор атаки. Если применимо, сводка содержит сведения о том, что произошло, затронутых ресурсах и типе атаки. |
| systemTags | Коллекция строк | Коллекция системных тегов, связанных с инцидентом. |
| tenantId | String | Клиент Microsoft Entra, в котором было создано оповещение. |
В следующей таблице перечислены члены расширяемого перечисления.
Prefer: include-unknown-enum-members Используйте заголовок запроса, чтобы получить следующие значения в этой развиваемой перечислении: awaitingAction.
| Member | Описание |
|---|---|
| активный | Инцидент находится в активном состоянии. |
| resolved | Инцидент находится в разрешенном состоянии. |
| inProgress | Инцидент находится в процессе устранения последствий. |
| Перенаправлены | Инцидент был объединен с другим инцидентом. Идентификатор целевого инцидента отображается в свойстве redirectIncidentId . |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
| awaitingAction | Этот инцидент требует действий от экспертов Defender, ожидающих ваших действий. Это состояние могут задать только эксперты Microsoft 365 Defender. |
| Связь | Тип | Описание |
|---|---|---|
| оповещения | Коллекция microsoft.graph.security.alert | Список связанных оповещений. Поддерживает $expand. |
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"recommendedActions" : "String",
"recommendedHuntingQueries" : [{"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"}],
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String"
}
События
Создание интеллектуальных приложений
17 мар., 21 - 21 мар., 10
Присоединитесь к серии встреч для создания масштабируемых решений искусственного интеллекта на основе реальных вариантов использования с другими разработчиками и экспертами.
Зарегистрироваться