警报资源类型 (已弃用)
命名空间:microsoft.graph
注意
旧警报 API 已弃用,将于 2026 年 4 月删除。 建议迁移到新的 警报和事件 API。
此资源对应于 Microsoft Graph 安全 API 中的第一代警报,表示 Microsoft 或合作伙伴安全解决方案识别的客户租户中的潜在安全问题。
这种类型的警报联合调用受支持的 Azure 和 Microsoft 365 Defender 安全提供程序,如 使用 Microsoft Graph 安全 API。 它聚合不同域之间的常见警报数据,使应用程序能够跨所有集成解决方案统一和简化安全问题的管理。
若要了解详细信息,请参阅 Graph 浏览器中的查询示例。
注意
此资源是 Microsoft Graph 安全 API v1.0 版提供的两种类型的警报之一。 有关详细信息,请参阅 警报。
方法
| 方法 | 返回类型 | 说明 |
|---|---|---|
| 获取警报 | 警报 | 读取警报对象的属性和关系。 |
| 更新警报 | 警报 | 更新警报对象。 |
| 列出警报 | 警报集合 | 获取警报对象集合。 |
属性
| 属性 | 类型 | 说明 | |
|---|---|---|---|
| activityGroupName | 字符串 | 此警报归因于的活动组(攻击者)的名称或别名。 | |
| assignedTo | String | 分配警报的分析员名称,用于分类、调查或修复(支持更新)。 | |
| azureSubscriptionId | 字符串 | Azure 订阅 ID,如果此警报与 Azure 资源相关时显示。 | |
| azureTenantId | 字符串 | Microsoft Entra租户 ID。 必需。 | |
| “类别” | String | 警报 (类别,例如 credentialTheft、勒索软件) 。 | |
| closedDateTime | DateTimeOffset | 警报关闭的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z (支持 更新)。 |
|
| cloudAppStates | cloudAppSecurityState 集合 | 提供程序生成的与此警报相关的云应用程序的安全相关状态信息。 | |
| comments | 字符串集合 | 客户提供的警报评论(用于客户警报管理)(支持更新)。 | |
| confidence | Int32 | 检测逻辑的可信度(1-100 之间的百分比)。 | |
| createdDateTime | DateTimeOffset | 警报提供程序创建警报的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 必需。 |
|
| description | String | 警报说明。 | |
| detectionIds | 字符串集合 | 与此警报实体相关的警报集(每个警报作为单独的记录推送到 SIEM)。 | |
| eventDateTime | DateTimeOffset | 发生一个或多个用作生成警报的触发器的事件的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 必需。 |
|
| 反馈 | alertFeedback | 分析师对警报的反馈。 可取值为:unknown、truePositive、falsePositive、benignPositive。 支持 更新。 |
|
| fileStates | fileSecurityState 集合 | 提供程序生成的与此警报相关的文件的安全相关状态信息。 | |
| hostStates | hostSecurityState 集合 | 提供程序生成的与此警报相关的主机的安全相关状态信息。 | |
| id | String | 提供程序生成的 GUID/唯一标识符。 只读。 必填。 | |
| incidentIds | String collection | 与当前警报相关的事件的 ID。 | |
| lastModifiedDateTime | DateTimeOffset | 上次修改警告实体的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 |
|
| malwareStates | malwareState 集合 | 威胁智能,属于与此警报相关的恶意软件。 | |
| networkConnections | networkConnection 集合 | 提供程序生成的与此警报相关的网络连接的安全相关状态信息。 | |
| processes | process 集合 | 提供程序生成的与此警报相关的流程的安全相关状态信息。 | |
| recommendedActions | 字符串集合 | 供应商/提供程序建议对警报采取的措施(例如,隔离计算机、enforce2FA、重新映像主机)。 | |
| registryKeyStates | registryKeyState 集合 | 提供程序生成的与此警报相关的注册表项的安全相关状态信息。 | |
| securityResources | securityResource collection | 与当前警报相关的资源。 例如,对于某些警报,可能有 Azure 资源值。 | |
| severity | alertSeverity | 警报严重性 - 由供应商/提供程序设置。 可取值为:unknown、informational、low、medium、high。 必需。 |
|
| sourceMaterials | 字符串集合 | 超链接 (URI) 到与警报相关的源材料,例如,用于警报或日志搜索的提供程序用户界面。 | |
| status | alertStatus | 警告生命周期的状态(阶段)。 可取值为:unknown、newAlert、inProgress、resolved。 (支持更新)。 必需。 |
|
| 标记 | 字符串集合 | 可应用于警报的用户可定义标签,可用作筛选条件 (例如“HVA”、“SAW”) (支持 更新) 。 | |
| title | String | 警报标题。 必需。 | |
| 触发器 | alertTrigger 集合 | 有关触发警报的特定属性的安全相关信息(警报中显示的属性)。 警报可能包含有关多个用户、主机、文件、ip 地址的信息。 此字段指示哪些属性触发警报生成。 | |
| userStates | userSecurityState 集合 | 提供程序生成的与此警报相关的用户帐户的安全相关状态信息。 | |
| vendorInformation | securityVendorInformation | 包含有关安全产品/服务供应商、提供程序和子提供程序的详细信息的复杂类型(例如,供应商 = Microsoft;提供程序 = Windows Defender ATP;子提供程序 = AppLocker)。 必需。 | |
| vulnerabilityStates | vulnerabilityState 集合 | 威胁智能,属于与此警报相关的一个或多个漏洞。 |
关系
无。
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"activityGroupName": "String",
"assignedTo": "String",
"azureSubscriptionId": "String",
"azureTenantId": "String",
"category": "String",
"closedDateTime": "String (timestamp)",
"cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
"comments": ["String"],
"confidence": 1024,
"createdDateTime": "String (timestamp)",
"description": "String",
"detectionIds": ["String"],
"eventDateTime": "String (timestamp)",
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
"hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
"id": "String (identifier)",
"incidentIds": ["String"],
"lastModifiedDateTime": "String (timestamp)",
"malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
"networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
"processes": [{"@odata.type": "microsoft.graph.process"}],
"recommendedActions": ["String"],
"registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
"securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"sourceMaterials": ["String"],
"status": "@odata.type: microsoft.graph.alertStatus",
"tags": ["String"],
"title": "String",
"triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
"userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
"vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
"vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈