警报资源类型

  • 项目

命名空间:microsoft.graph.security

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

此资源对应于 Microsoft Graph 安全 API 中最新一代的警报。 它表示客户租户中的潜在安全问题。 这些问题由 Microsoft 365 Defender 或与 Microsoft 365 Defender 集成的安全提供程序确定。

安全提供程序在检测到威胁时在系统中创建警报。 Microsoft 365 Defender 从安全提供程序提取此警报数据,并使用警报数据在 警报 资源中返回有关任何相关攻击、受影响资产和相关 证据的宝贵线索。 它会自动将具有相同攻击技术或相同攻击者的其他警报关联到 事件 中,以提供更广泛的攻击上下文。 以此方式聚合警报可便于分析员更轻松地综合调查和响应威胁。

注意

此资源是 Microsoft Graph 安全 API beta 版提供的两种类型的警报之一。 有关详细信息,请参阅 警报

方法

方法 返回类型 说明
列出alerts_v2 microsoft.graph.security.alert 集合 获取跟踪组织中可疑活动的 警报 资源列表。
获取警报 microsoft.graph.security.alert 根据指定的 警报ID 属性获取组织中警报对象的属性。
更新警报 microsoft.graph.security.alert 根据指定的警报 ID 属性更新组织中警报对象的属性。
为警报创建注释 alertComment 根据指定的 警报ID 属性为现有警报创建注释。

属性

属性 类型 说明
actorDisplayName String 与此警报关联的攻击者或活动组。
additionalData microsoft.graph.security.dictionary 其他警报属性的集合,包括用户定义的属性。 警报中定义的任何自定义详细信息以及警报详细信息中的任何动态内容都存储在此处。
alertPolicyId String 生成警报的策略 ID,并在存在生成警报的特定策略时填充的策略 ID,无论是由客户配置还是内置策略。
alertWebUrl String Microsoft 365 Defender 门户警报页的 URL。
assignedTo String 警报的所有者,如果未分配所有者,则为 null。
“类别” String 警报所属的攻击杀伤链类别。 与 MITRE ATT&CK 框架保持一致。
classification microsoft.graph.security.alertClassification 指定警报是否表示真正的威胁。 可取值为:unknownfalsePositivetruePositiveinformationalExpectedActivityunknownFutureValue
comments microsoft.graph.security.alertComment 集合 安全运营 (SecOps) 团队在警报管理过程中创建的注释数组。
createdDateTime DateTimeOffset Microsoft 365 Defender 创建警报的时间。
说明 String 描述每个警报的字符串值。
detectionSource microsoft.graph.security.detectionSource 识别值得注意的组件或活动的检测技术或传感器。 可能的值为:、、、、antivirusautomatedInvestigationsmartScreenmicrosoftThreatExpertscustomTimicrosoftDefenderForOffice365microsoftDefenderForIdentitycustomDetectionmicrosoftDataLossPreventionmanualmicrosoft365DefenderazureAdIdentityProtectionappGovernanceDetectionappGovernancePolicyunknownFutureValuecloudAppSecuritymicrosoftDefenderForCloud、 。 builtInMlmicrosoftDefenderForDatabasesmicrosoftDefenderForContainersmicrosoftDefenderForNetworkmicrosoftDefenderForResourceManagermicrosoftDefenderForKeyVaultmicrosoftDefenderForApiManagementmicrosoftDefenderForAppServicemicrosoftSentinelmicrosoftDefenderForDNSmicrosoftDefenderThreatIntelligenceAnalyticsmicrosoftDefenderForIoTscheduledAlertsmicrosoftDefenderForServersnrtAlertsmicrosoftDefenderForStoragemicrosoftDefenderForEndpointunknown 必须使用Prefer: include-unknown-enum-members请求标头来获取以下值 (在此可演变枚举中的) :microsoftDefenderForCloud、、microsoftDefenderForIoTmicrosoftDefenderForServersmicrosoftDefenderForStoragemicrosoftDefenderForDatabasesmicrosoftDefenderForContainersmicrosoftDefenderForNetworkmicrosoftDefenderForAppServicemicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftDefenderForDNSmicrosoftDefenderForKeyVaultmicrosoftSentinelnrtAlertsscheduledAlerts、 。 builtInMlmicrosoftDefenderThreatIntelligenceAnalytics
detectorId String 触发警报的检测器的 ID。
productName String 发布此警报的产品的名称。
测定 microsoft.graph.security.alertDetermination 指定调查的结果、警报是否表示真正的攻击以及攻击的性质(如果是)。 可取值为:unknownaptmalwaresecurityPersonnelsecurityTestingunwantedSoftwareothermultiStagedAttackcompromisedUserphishingmaliciousUserActivitycleaninsufficientDataconfirmedUserActivitylineOfBusinessApplicationunknownFutureValue
证据 microsoft.graph.security.alertEvidence 集合 收集与警报相关的证据。
firstActivityDateTime DateTimeOffset 与警报关联的最早活动。
id String 用于表示 警报 资源的唯一标识符。
incidentId String 表示与此警报资源关联的事件的唯一标识符。
incidentWebUrl String Microsoft 365 Defender 门户中事件页的 URL。
lastActivityDateTime DateTimeOffset 与警报关联的最早活动。
lastUpdateDateTime DateTimeOffset 上次在 Microsoft 365 Defender 上更新警报的时间。
mitreTechniques Collection(Edm.String) 攻击技术,与 MITRE ATT&CK 框架保持一致。
providerAlertId String 在生成警报的安全提供程序产品中显示的警报的 ID。
recommendedActions String 建议在生成此警报时要采取的响应和修正操作。
resolvedDateTime DateTimeOffset 解决警报的时间。
serviceSource microsoft.graph.security.serviceSource 创建此警报的服务或产品。 可取值为:unknownmicrosoftDefenderForEndpointmicrosoftDefenderForIdentitymicrosoftDefenderForCloudAppsmicrosoftDefenderForOffice365microsoft365DefenderazureAdIdentityProtectionmicrosoftAppGovernancedataLossPreventionunknownFutureValuemicrosoftDefenderForCloudmicrosoftSentinel。 必须使用 Prefer: include-unknown-enum-members 请求标头来获取以下值 (在此 可演变枚举中的) : microsoftDefenderForCloudmicrosoftSentinel
severity microsoft.graph.security.alertSeverity 指示对资产可能产生的影响。 严重性越高,影响越大。 通常,严重性较高的项目需要最立即的关注。 可取值为:unknowninformationallowmediumhighunknownFutureValue
status microsoft.graph.security.alertStatus 警报的状态。 可能的值是:newinProgressresolvedunknownFutureValue
tenantId String 创建警报的Microsoft Entra租户。
threatDisplayName String 与此警报关联的威胁。
threatFamilyName String 与此警报关联的威胁系列。
title String 描述警报的简短标识字符串值。
systemTags 字符串集合 与警报关联的系统标记。

alertClassification 值

成员 说明
unknown 尚未对警报进行分类。
falsePositive 警报为误报,未检测到恶意活动。
truePositive 警报为真正并检测到恶意活动。
informationalExpectedActivity 警报为良性正,并且被受信任的/内部用户(例如安全测试)检测到潜在的恶意活动。
unknownFutureValue 可演变枚举 sentinel 值。 请勿使用。

alertDetermination 值

成员 说明
unknown 尚未设置确定值。
容易 检测到高级持续性威胁的真正警报。
恶意软件 检测恶意软件的真正警报。
securityPersonnel 一个真正积极的警报,它检测到客户安全团队中的某人执行了有效的可疑活动。
securityTesting 警报检测到作为已知安全测试的一部分执行的有效可疑活动。
不需要的Software 警报检测到不需要的软件。
multiStagedAttack 检测到多个杀伤链攻击阶段的真正警报。
compromisedAccount 检测到目标用户的凭据已泄露或被盗的真正警报。
仿冒 检测到钓鱼电子邮件的真正警报。
maliciousUserActivity 一个真正警报,检测登录用户执行恶意活动。
notMalicious 错误警报,无可疑活动。
notEnoughDataToValidate 错误警报,没有足够的信息来证明否则。
confirmedActivity 警报捕获了一个真正的可疑活动,该活动被视为正常,因为它是已知的用户活动。
lineOfBusinessApplication 警报捕获了一个真正的可疑活动,该活动被视为正常,因为它是已知且已确认的内部应用程序。
其他 其他决定。
unknownFutureValue 可演变枚举 sentinel 值。 请勿使用。

alertSeverity 值

成员 说明
unknown 严重性未知。
信息 警报可能不可操作或认为对网络有害,但可提高组织对潜在安全问题的安全意识。
有关与流行恶意软件关联的威胁的警报。 例如,黑客工具和非恶意软件黑客工具(如运行浏览命令和清除日志),它们通常不指示针对组织的高级威胁。 它还可能来自组织中用户正在测试的独立安全工具。
中等 从检测和响应攻击后的行为生成的警报,这些行为可能是高级持久性威胁 (APT) 的一部分。 这些警报包括观察到的典型攻击阶段行为、异常注册表更改、可疑文件执行等。 尽管有些可能是由于内部安全测试,但它们是有效的检测,需要调查,因为它们可能是高级攻击的一部分。
通常看到的警报与高级持久性威胁 (APT) 相关联。 这些警报表明存在高风险,因为它们可能会对资产造成严重损害。 一些示例包括:凭据盗窃工具活动、与任何组无关的勒索软件活动、篡改安全传感器或任何指示人类攻击者的恶意活动。
unknownFutureValue 可演变枚举 sentinel 值。 请勿使用。

alertStatus 值

成员 说明
unknown 未知状态。
新增功能 新警报。
inProgress 警报正在进行缓解。
已解决 警报处于已解决状态。
unknownFutureValue 可演变枚举 sentinel 值。 请勿使用。

serviceSource 值

说明
unknown 未知的服务源。
microsoftDefenderForEndpoint Microsoft Defender for Endpoint。
microsoftDefenderForIdentity Microsoft Defender for Identity。
microsoftDefenderForCloudApps Microsoft Defender for Cloud Apps。
microsoftDefenderForOffice365 Microsoft Defender Office 365。
microsoft365Defender Microsoft 365 Defender。
azureAdIdentityProtection Microsoft Entra ID 保护。
microsoftAppGovernance Microsoft 应用治理。
dataLossPrevention Microsoft Purview 数据丢失防护。
unknownFutureValue 可演变枚举 sentinel 值。 请勿使用。
microsoftDefenderForCloud Microsoft Defender for Cloud。
microsoftSentinel Microsoft Sentinel。

detectionSource 值

说明
unknown 未知的检测源。
microsoftDefenderForEndpoint 终结点Microsoft Defender。
防病毒 防病毒软件。
smartScreen Microsoft Defender SmartScreen。
customTi 自定义威胁情报。
microsoftDefenderForOffice365 Microsoft Defender for Office 365。
automatedInvestigation 自动调查。
microsoftThreatExperts Microsoft 威胁专家。
customDetection 自定义检测。
microsoftDefenderForIdentity Microsoft Defender for Identity。
cloudAppSecurity 云应用安全性。
microsoft365Defender Microsoft 365 Defender。
azureAdIdentityProtection Microsoft Entra ID 保护。
手动 手动检测。
microsoftDataLossPrevention Microsoft Purview 数据丢失防护。
appGovernancePolicy 应用治理策略。
appGovernanceDetection 应用治理检测。
unknownFutureValue 可演变枚举 sentinel 值。 请勿使用。
microsoftDefenderForCloud Microsoft Defender for Cloud。
microsoftDefenderForIoT 适用于 IoT 的 Microsoft Defender。
microsoftDefenderForServers 服务器的Microsoft Defender。
microsoftDefenderForStorage 存储Microsoft Defender。
microsoftDefenderForDNS DNS 的Microsoft Defender。
microsoftDefenderForDatabases 数据库Microsoft Defender。
microsoftDefenderForContainers 用于容器的Microsoft Defender。
microsoftDefenderForNetwork 适用于网络的Microsoft Defender。
microsoftDefenderForAppService App 服务的Microsoft Defender。
microsoftDefenderForKeyVault 密钥保管库的Microsoft Defender。
microsoftDefenderForResourceManager 资源管理器的Microsoft Defender。
microsoftDefenderForApiManagement API 管理的Microsoft Defender。
microsoftSentinel Microsoft Sentinel。
nrtAlerts Sentinel NRT 警报。
scheduledAlerts Sentinel 计划警报。
microsoftDefenderThreatIntelligenceAnalytics Sentinel 威胁情报警报。
builtInMl Sentinel 内置 ML。

关系

无。

JSON 表示形式

以下 JSON 表示形式显示了资源类型。

{
  "@odata.type": "#microsoft.graph.security.alert",
  "id": "String (identifier)",
  "providerAlertId": "String",
  "incidentId": "String",
  "status": "String",
  "severity": "String",
  "classification": "String",
  "determination": "String",
  "serviceSource": "String",
  "detectionSource": "String",
  "productName": "String",
  "detectorId": "String",
  "tenantId": "String",
  "title": "String",
  "description": "String",
  "recommendedActions": "String",
  "category": "String",
  "assignedTo": "String",
  "alertWebUrl": "String",
  "incidentWebUrl": "String",
  "actorDisplayName": "String",
  "threatDisplayName": "String",
  "threatFamilyName": "String",
  "mitreTechniques": [
    "String"
  ],
  "createdDateTime": "String (timestamp)",
  "lastUpdateDateTime": "String (timestamp)",
  "resolvedDateTime": "String (timestamp)",
  "firstActivityDateTime": "String (timestamp)",
  "lastActivityDateTime": "String (timestamp)",
  "comments": [
    {
      "@odata.type": "microsoft.graph.security.alertComment"
    }
  ],
  "evidence": [
    {
      "@odata.type": "microsoft.graph.security.alertEvidence"
    }
  ],
  "systemTags" : [
    "String",
    "String"
  ],
  "additionalData": {
    "@odata.type": "microsoft.graph.security.dictionary"
  }
}