Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пространство имен: microsoft.graph.security
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Представляет действие по исправлению инцидента. Когда Эксперты по Microsoft Defender для XDR определяет необходимое действие, вы создаете задачу для проверки и выполнения действий. Просмотрите эти задачи и выполните действия на портале или с помощью этого API.
Наследует от microsoft.graph.entity.
Методы
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Список | Коллекция microsoft.graph.security.incidentTask | Получение объектов задачи инцидента и их свойств. |
| Получение | microsoft.graph.security.incidentTask | Чтение свойств и связей задачи инцидента. |
| Обновление | microsoft.graph.security.incidentTask | Обновите состояние задачи инцидента. |
| Выполнение действия ответа | Нет | Выполните действие исправления для задачи инцидента. Ограничено поддерживаемыми типами действий. |
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| actionStatus | microsoft.graph.security.incidentTaskActionStatus | Состояние выполнения действия. Допустимые значения: notStarted, inProgress, partiallyCompleted, completed, failed, unknownFutureValue. Дополнительные сведения см. в разделе Значения incidentTaskActionStatus. |
| actionType | microsoft.graph.security.incidentTaskActionType | Выполняемая задача исправления. Возможные значения: text, , isolateDevice, stopAndQuarantineFilerunAntiVirusScan, , collectInvestigationPackage, restrictAppExecutionsubmitIocRule, , forceUserPasswordReset, disableUser, markUserAsCompromised, requireSignIn, hardDeleteEmail, , softDeleteEmail, unIsolateDevice, unRestrictAppExecution, enableUser, . unknownFutureValue Дополнительные сведения см. в разделе значения incidentTaskActionType. |
| createdByDisplayName | String | Имя сущности, создающей задачу. Только для чтения. |
| createdDateTime | DateTimeOffset | Время создания задачи. Только для чтения. |
| description | String | Описание действия исправления. |
| displayName | Строка | Название задачи. |
| id | String | Уникальный идентификатор GUID для задачи. |
| lastModifiedByDisplayName | String | Имя сущности, которая в последний раз обновляла задачу. Только для чтения. |
| lastModifiedDateTime | DateTimeOffset | Время последнего обновления задачи. Только для чтения. |
| responseAction | microsoft.graph.security.incidentTaskResponseAction | Действие reponse. |
| source | microsoft.graph.security.incidentTaskSource | Источник задачи. Допустимые значения: defenderExpertsGuidedResponse, defenderExpertsManagedResponse, unknownFutureValue. Дополнительные сведения см. в разделе incidentTaskSource values. |
| status | microsoft.graph.security.incidentTaskStatus | Текущее состояние задачи. Это свойство является единственным свойством, которое можно обновить. Допустимые значения: open, inProgress, completed, failed, notRelevant, unknownFutureValue. Дополнительные сведения см. в разделе значения incidentTaskStatus. |
значения incidentTaskActionStatus
| Member | Описание |
|---|---|
| notStarted | Действие, связанное с задачей инцидента, не запущено. |
| inProgress | Действие, связанное с задачей инцидента, имеет значение inProgress. |
| partiallyCompleted | Действие, связанное с задачей инцидента, частично завершено. |
| завершённый | Действие, связанное с задачей инцидента, завершено. |
| неудавшийся | Сбой действия, связанного с задачей инцидента. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
Значения incidentTaskActionType
| Member | Описание |
|---|---|
| текст | Действием может быть любой свободный текст, например SOC может помочь клиенту отформатировать свое устройство. |
| isolateDevice | Использует Microsoft Defender для конечной точки для применения полной сетевой изоляции, предотвращая подключение устройства к любому приложению или службе. |
| stopAndQuarantineFile | Использует Microsoft Defender для конечной точки для удаления файла с устройства. |
| runAntiVirusScan | Выполняет проверку Microsoft Defender антивирусной программы на устройстве. |
| collectInvestigationPackage | Использует Microsoft Defender для конечной точки для сбора журналов устройств и хранения их в ZIP-файле. |
| restrictAppExecution | Устанавливает ограничения на устройстве, разрешающие запуск только исполняемых файлов, подписанных сертификатом Майкрософт. |
| submitIocRule | Отправка правила МОК. |
| forceUserPasswordReset | Заставляет пользователя сбросить пароль. |
| disableUser | Временно запрещает пользователю войти в локальную среду. |
| markUserAsCompromised | Устанавливает уровень риска пользователей в "высокий" в Azure Active Directory. |
| requireSignIn | Требует повторного входа пользователя. |
| hardDeleteEmail | Удаляет сообщение электронной почты. |
| softDeleteEmail | Перемещает сообщение электронной почты в удаленную папку. |
| unIsolateDevice | Возвращает действие ответа isolateDevice. |
| unRestrictAppExecution | Отмена действия ответа restrictAppExecution. |
| enableUser | Отмена отмены действия ответа Пользователей. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
Значения incidentTaskSource
| Member | Описание |
|---|---|
| defenderExpertsGuidedResponse | Задача инцидента экспертов Defender находится на стадии выполнения на клиенте. |
| defenderExpertsManagedResponse | Выполнение задачи инцидента экспертов Defender выполняется экспертами Defender. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
Значения incidentTaskStatus
| Member | Описание |
|---|---|
| открытый | Задача инцидента помечается как открытая. |
| inProgress | Задача инцидента помечается как выполняется. |
| завершённый | Задача инцидента помечается как завершенная. |
| неудавшийся | Задача инцидента помечена как сбой. Сбой при выполнении действия также задает состояние задачи инцидента как сбой. |
| notRelevant | Задача инцидента помечена как неактуемая. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
Связи
| Связь | Тип | Описание |
|---|---|---|
| происшествие | microsoft.graph.security.incident | Обязательно. Инцидент, содержащий эту задачу. Должен содержать допустимый идентификатор инцидента. |
Представление JSON
В следующем формате JSON показана структура типа ресурса.
{
"@odata.type": "#microsoft.graph.security.incidentTask",
"id": "String (identifier)",
"status": "String",
"source": "String",
"displayName": "String",
"description": "String",
"createdDateTime": "String (timestamp)",
"createdByDisplayName": "String",
"lastModifiedDateTime": "String (timestamp)",
"lastModifiedByDisplayName": "String",
"actionStatus": "String",
"actionType": "String",
"incident": {
"@odata.type": "microsoft.graph.security.incident",
"id": "String"
}
}