警报资源类型 (已弃用)

命名空间:microsoft.graph

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

注意

旧警报 API 已弃用,将于 2026 年 4 月删除。 建议迁移到新的 警报和事件 API。

此资源对应于 Microsoft Graph 安全 API 中的第一代警报,表示 Microsoft 或合作伙伴安全解决方案识别的客户租户中的潜在安全问题。

这种类型的警报联合调用受支持的 Azure 和 Microsoft 365 Defender 安全提供程序,如 使用 Microsoft Graph 安全 API。 它聚合不同域之间的常见警报数据,使应用程序能够跨所有集成解决方案统一和简化安全问题的管理。

若要了解详细信息,请参阅 Graph 浏览器中的查询示例。

注意

此资源是 Microsoft Graph 安全 API beta 版提供的两种类型的警报之一。 有关详细信息,请参阅 警报

方法

方法 返回类型 说明
获取警报 警报 读取警报对象的属性和关系。
更新警报 警报 更新警报对象。
列出警报 警报集合 获取警报对象集合。
更新多个警报 警报集合 更新多个警报对象。

属性

属性 类型 说明
activityGroupName 字符串 此警报归因于的活动组(攻击者)的名称或别名。
assignedTo String 分配警报的分析员名称,用于分类、调查或修复(支持更新)。
azureSubscriptionId 字符串 Azure 订阅 ID,如果此警报与 Azure 资源相关时显示。
azureTenantId 字符串 Microsoft Entra租户 ID。 必需。
“类别” String 警报 (类别,例如 credentialTheft、勒索软件) 。
closedDateTime DateTimeOffset 警报关闭的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z (支持 更新)。
cloudAppStates cloudAppSecurityState 集合 提供程序生成的与此警报相关的云应用程序的安全相关状态信息。
comments 字符串集合 客户提供的警报评论(用于客户警报管理)(支持更新)。
confidence Int32 检测逻辑的可信度(1-100 之间的百分比)。
createdDateTime DateTimeOffset 警报提供程序创建警报的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 必需。
description String 警报说明。
detectionIds 字符串集合 与此警报实体相关的警报集(每个警报作为单独的记录推送到 SIEM)。
eventDateTime DateTimeOffset 发生一个或多个用作生成警报的触发器的事件的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 必需。
反馈 alertFeedback 分析师对警报的反馈。 可取值为:unknowntruePositivefalsePositivebenignPositive。 支持 更新
fileStates fileSecurityState 集合 提供程序生成的与此警报相关的文件的安全相关状态信息。
historyStates alertHistoryState 集合 alertHistoryStates 的集合,其中包含对警报所做的所有更新的审核日志。
hostStates hostSecurityState 集合 提供程序生成的与此警报相关的主机的安全相关状态信息。
id String 提供程序生成的 GUID/唯一标识符。 只读。 必填。
incidentIds String collection 与当前警报相关的事件的 ID。
lastModifiedDateTime DateTimeOffset 上次修改警告实体的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
malwareStates malwareState 集合 威胁智能,属于与此警报相关的恶意软件。
networkConnections networkConnection 集合 提供程序生成的与此警报相关的网络连接的安全相关状态信息。
processes process 集合 提供程序生成的与此警报相关的流程的安全相关状态信息。
recommendedActions 字符串集合 供应商/提供程序建议对警报采取的措施(例如,隔离计算机、enforce2FA、重新映像主机)。
registryKeyStates registryKeyState 集合 提供程序生成的与此警报相关的注册表项的安全相关状态信息。
securityResources securityResource collection 与当前警报相关的资源。 例如,对于某些警报,可能有 Azure 资源值。
severity alertSeverity 警报严重性 - 由供应商/提供程序设置。 可取值为:unknowninformationallowmediumhigh。 必需。
sourceMaterials 字符串集合 超链接 (URI) 到与警报相关的源材料,例如,用于警报或日志搜索的提供程序用户界面。
status alertStatus 警告生命周期的状态(阶段)。 可取值为:unknownnewAlertinProgressresolved。 (支持更新)。 必需。
标记 字符串集合 可应用于警报的用户可定义标签,可用作筛选条件 (例如“HVA”、“SAW”) (支持 更新) 。
title String 警报标题。 必需。
触发器 alertTrigger 集合 有关触发警报的特定属性的安全相关信息(警报中显示的属性)。 警报可能包含有关多个用户、主机、文件、ip 地址的信息。 此字段指示哪些属性触发警报生成。
userStates userSecurityState 集合 提供程序生成的与此警报相关的用户帐户的安全相关状态信息。
vendorInformation securityVendorInformation 包含有关安全产品/服务供应商、提供程序和子提供程序的详细信息的复杂类型(例如,供应商 = Microsoft;提供程序 = Windows Defender ATP;子提供程序 = AppLocker)。 必需。
vulnerabilityStates vulnerabilityState 集合 威胁智能,属于与此警报相关的一个或多个漏洞。

关系

无。

JSON 表示形式

以下 JSON 表示形式显示了资源类型。

{
  "activityGroupName": "String",
  "assignedTo": "String",
  "azureSubscriptionId": "String",
  "azureTenantId": "String",
  "category": "String",
  "closedDateTime": "String (timestamp)",
  "cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
  "comments": ["String"],
  "confidence": 1024,
  "createdDateTime": "String (timestamp)",
  "description": "String",
  "detectionIds": ["String"],
  "eventDateTime": "String (timestamp)",
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
  "historyStates": [{"@odata.type": "microsoft.graph.alertHistoryState"}],
  "hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
  "id": "String (identifier)",
  "incidentIds": ["String"],
  "lastModifiedDateTime": "String (timestamp)",
  "malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
  "networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
  "processes": [{"@odata.type": "microsoft.graph.process"}],
  "recommendedActions": ["String"],
  "registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
  "securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "sourceMaterials": ["String"],
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": ["String"],
  "title": "String",
  "triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
  "userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
  "vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
  "vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}