Warnung Ressourcentyp

Namespace: microsoft.graph.security

Diese Ressource entspricht dem neuesten Batch von Warnungen, die von der Microsoft Graph-Sicherheits-API generiert wurden. Diese Ressource stellt potenzielle Sicherheitsprobleme innerhalb des Mandanten eines Kunden dar, die Von Microsoft 365 Defender oder einem in Microsoft 365 Defender integrierten Sicherheitsanbieter identifiziert wurden.

Wenn ein Sicherheitsanbieter eine Bedrohung erkennt, wird eine Warnung im System erstellt. Microsoft 365 Defender ruft diese Warnungsdaten vom Sicherheitsanbieter ab und nutzt die Warnungsdaten, um in einer Warnungsressource wertvolle Hinweise zu verwandten Angriffen, betroffenen Ressourcen und zugehörigen Beweisen zurückzugeben. Es korreliert automatisch andere Warnungen mit den gleichen Angriffstechniken oder demselben Angreifer mit einem Incident , um einen breiteren Kontext eines Angriffs bereitzustellen. Das Zusammenfassen von Benachrichtigungen erleichtert es Analytikern, Bedrohungen kollektiv zu untersuchen und darauf zu reagieren.

Hinweis

Diese Ressource ist einer der beiden Arten von Warnungen, die die Version v1.0 der Microsoft Graph-Sicherheits-API bietet. Weitere Informationen finden Sie unter Warnungen.

Methoden

Methode Rückgabetyp Beschreibung
List microsoft.graph.security.alert-Sammlung Rufen Sie eine Liste der Warnungsressourcen ab, die erstellt wurden, um verdächtige Aktivitäten in einer Organisation nachzuverfolgen.
Get microsoft.graph.security.alert Ruft die Eigenschaften eines Warnungsobjekts in einer Organisation basierend auf der angegebenen Warnungs-ID-Eigenschaft ab.
Update microsoft.graph.security.alert Aktualisieren Sie die Eigenschaften eines Warnungsobjekts in einer Organisation basierend auf der angegebenen Warnungs-ID-Eigenschaft .
Kommentar erstellen AlertComment Erstellen Sie einen Kommentar für eine vorhandene Warnung basierend auf der angegebenen Warnungs-ID-Eigenschaft .

Eigenschaften

Eigenschaft Typ Beschreibung
actorDisplayName Zeichenfolge Der Angreifer oder die Aktivitätsgruppe, die dieser Warnung zugeordnet ist.
additionalData microsoft.graph.security.dictionary Eine Sammlung anderer Warnungseigenschaften, einschließlich benutzerdefinierter Eigenschaften. Alle in der Warnung definierten benutzerdefinierten Details und alle dynamischen Inhalte in den Warnungsdetails werden hier gespeichert.
alertPolicyId Zeichenfolge Die ID der Richtlinie, die die Warnung generiert hat, und wird aufgefüllt, wenn eine bestimmte Richtlinie vorhanden ist, die die Warnung generiert hat, unabhängig davon, ob sie von einem Kunden oder einer integrierten Richtlinie konfiguriert wurde.
alertWebUrl Zeichenfolge URL für die Warnungsseite des Microsoft 365 Defender-Portals.
assignedTo Zeichenfolge Besitzer der Warnung oder NULL, wenn kein Besitzer zugewiesen ist.
category String Die Angriffs-Kill-Chain-Kategorie, zu der die Warnung gehört. Ausgerichtet auf das MITRE ATT&CK-Framework.
classification microsoft.graph.security.alertClassification Gibt an, ob die Warnung eine echte Bedrohung darstellt. Mögliche Werte: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
Kommentare microsoft.graph.security.alertComment-Sammlung Array von Kommentaren, die vom Security Operations (SecOps)-Team während des Warnungsverwaltungsprozesses erstellt wurden.
createdDateTime DateTimeOffset Zeitpunkt, zu dem Microsoft 365 Defender die Warnung erstellt hat.
description Zeichenfolge Zeichenfolgenwert, der jede Warnung beschreibt.
detectionSource microsoft.graph.security.detectionSource Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat. Mögliche Werte sind: unknown, microsoftDefenderForEndpoint, antivirus, smartScreen, customTi, microsoftDefenderForOffice365, automatedInvestigation, microsoftThreatExpertsmicrosoftDefenderThreatIntelligenceAnalyticsscheduledAlertsnrtAlertsmicrosoftSentinelmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftDefenderForKeyVaultmicrosoftDefenderForNetworkmicrosoftDefenderForAppServicemicrosoftDefenderForContainersmicrosoftDefenderForDNSmicrosoftDefenderForDatabasesmicrosoftDefenderForStoragemicrosoftDefenderForServersmicrosoftDefenderForIoTmicrosoftDefenderForCloudunknownFutureValuecustomDetectionappGovernanceDetectionappGovernancePolicymicrosoftDefenderForIdentitymanualcloudAppSecuritymicrosoft365DefenderazureAdIdentityProtectionmicrosoftDataLossPrevention. builtInMl Sie müssen den Prefer: include-unknown-enum-members Anforderungsheader verwenden, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: microsoftDefenderForCloud, microsoftDefenderForIoT, microsoftDefenderForDNSmicrosoftDefenderForStoragemicrosoftDefenderForServersmicrosoftDefenderForDatabases, microsoftDefenderForContainers, . microsoftDefenderForNetworkmicrosoftDefenderForAppServicemicrosoftDefenderForKeyVaultmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalyticsbuiltInMl
detectorId Zeichenfolge Die ID des Detektors, der die Warnung ausgelöst hat.
Entschlossenheit microsoft.graph.security.alertDetermination Gibt das Ergebnis der Untersuchung an, ob die Warnung einen echten Angriff darstellt, und wenn ja, die Art des Angriffs. Mögliche Werte sind: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue.
Beweis microsoft.graph.security.alertEvidence-Sammlung Sammlung von Beweisen im Zusammenhang mit der Warnung.
firstActivityDateTime DateTimeOffset Die früheste Aktivität, die der Warnung zugeordnet ist.
id Zeichenfolge Eindeutiger Bezeichner zur Darstellung der Warnungsressource .
incidentId Zeichenfolge Eindeutiger Bezeichner, der den Incident darstellt, dem diese Warnungsressource zugeordnet ist.
incidentWebUrl Zeichenfolge URL für die Incidentseite im Microsoft 365 Defender-Portal.
lastActivityDateTime DateTimeOffset Die älteste Aktivität, die der Warnung zugeordnet ist.
lastUpdateDateTime DateTimeOffset Zeitpunkt, zu dem die Warnung zuletzt bei Microsoft 365 Defender aktualisiert wurde.
mitreTechniques Collection(Edm.String) Die Angriffstechniken, die auf das MITRE ATT&CK-Framework abgestimmt sind.
productName Zeichenfolge Der Name des Produkts, das diese Warnung veröffentlicht hat.
providerAlertId Zeichenfolge Die ID der Warnung, wie sie im Sicherheitsanbieterprodukt angezeigt wird, das die Warnung generiert hat.
recommendedActions Zeichenfolge Empfohlene Reaktions- und Wartungsaktionen für den Fall, dass diese Warnung generiert wurde.
resolvedDateTime DateTimeOffset Zeitpunkt, zu dem die Warnung aufgelöst wurde.
serviceSource microsoft.graph.security.serviceSource Der Dienst oder das Produkt, das bzw. das diese Warnung erstellt hat. Mögliche Werte sind: unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud und microsoftSentinel. Sie müssen den Prefer: include-unknown-enum-members Anforderungsheader verwenden, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: microsoftDefenderForCloud, microsoftSentinel.
Schweregrad microsoft.graph.security.alertSeverity Gibt die möglichen Auswirkungen auf Ressourcen an. Je höher der Schweregrad, desto größer die Auswirkung. Elemente mit höherem Schweregrad erfordern in der Regel die unmittelbarste Aufmerksamkeit. Mögliche Werte sind: unknown, informational, low, medium, high und unknownFutureValue.
status microsoft.graph.security.alertStatus Der Status der Warnung. Mögliche Werte: new, inProgress, resolved, unknownFutureValue
tenantId Zeichenfolge Der Microsoft Entra-Mandant, in dem die Warnung erstellt wurde.
threatDisplayName Zeichenfolge Die dieser Warnung zugeordnete Bedrohung.
threatFamilyName Zeichenfolge Dieser Warnung zugeordnete Bedrohungsfamilie.
title String Kurze Identifizierung des Zeichenfolgenwerts, der die Warnung beschreibt.
systemTags String collection Die der Warnung zugeordneten Systemtags.

alertClassification-Werte

Member Beschreibung
unknown Die Warnung ist noch nicht klassifiziert.
falsePositive Die Warnung ist falsch positiv und hat keine schädliche Aktivität erkannt.
truePositive Die Warnung ist richtig positiv und hat eine schädliche Aktivität erkannt.
informationalExpectedActivity Die Warnung ist gutartig positiv und hat potenziell schädliche Aktivitäten von einem vertrauenswürdigen/internen Benutzer erkannt, z. B. Sicherheitstests.
unknownFutureValue Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

alertDetermination-Werte

Member Beschreibung
unknown Es wurde noch kein Ermittlungswert festgelegt.
passend Eine wahr positive Warnung, die eine erweiterte persistente Bedrohung erkannt hat.
Schadsoftware Eine wahr positive Warnung, die Schadsoftware erkannt hat.
securityPersonnel Eine wahr positive Warnung, die gültige verdächtige Aktivitäten erkannt hat, die eine Person im Sicherheitsteam des Kunden ausgeführt hat.
SicherheitTesting Die Warnung hat gültige verdächtige Aktivitäten erkannt, die im Rahmen eines bekannten Sicherheitstests ausgeführt wurden.
unwantedSoftware Die Warnung hat unerwünschte Software erkannt.
andere Sonstige Bestimmung.
multiStagedAttack Eine wahr positive Warnung, die mehrere Kill-Chain-Angriffsphasen erkannt hat.
compromisedAccount Eine wahr positive Warnung, die festgestellt hat, dass die Anmeldeinformationen des beabsichtigten Benutzers kompromittiert oder gestohlen wurden.
Phishing Eine wahr positive Warnung, die eine Phishing-E-Mail erkannt hat.
maliciousUserActivity Eine wahr positive Warnung, die erkannt hat, dass der angemeldete Benutzer schädliche Aktivitäten ausführt.
notMalicious Eine falsche Warnung, keine verdächtige Aktivität.
notEnoughDataToValidate Eine falsche Warnung, ohne dass genügend Informationen vorhanden sind, um das Gegenteil zu beweisen.
confirmedActivity Die Warnung hat eine wahr verdächtige Aktivität abgefangen, die als OK angesehen wird, da es sich um eine bekannte Benutzeraktivität handelt.
lineOfBusinessApplication Die Warnung hat eine wahr verdächtige Aktivität abgefangen, die als ok angesehen wird, da es sich um eine bekannte und bestätigte interne Anwendung handelt.
unknownFutureValue Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

alertSeverity-Werte

Member Beschreibung
unknown Unbekannter Schweregrad.
mitteilsam Warnungen, die möglicherweise nicht umsetzbar sind oder als schädlich für das Netzwerk gelten, aber das Sicherheitsbewusstsein der Organisation bei potenziellen Sicherheitsproblemen fördern können.
Niedrig Warnungen zu Bedrohungen im Zusammenhang mit weit verbreiteter Schadsoftware. Beispielsweise Hack-Tools, Nicht-Antischadsoftware-Hack-Tools wie das Ausführen von Explorationsbefehlen und das Löschen von Protokollen, die häufig nicht auf eine erweiterte Bedrohung hinweisen, die auf die Organisation abzielt. Es kann auch von einem isolierten Sicherheitstool stammen, das ein Benutzer in Ihrer Organisation testet.
medium Warnungen, die aus Erkennungen und Reaktionen nach einem Sicherheitsverletzungsverhalten generiert werden, die Teil einer Advanced Persistent Threat (APT) sein können. Dieser Schweregrad umfasst beobachtete Verhaltensweisen, die typisch für Angriffsphasen, anomale Registrierungsänderungen, die Ausführung verdächtiger Dateien usw. sind. Obwohl einige auf interne Sicherheitstests zurückzuführen sein können, sind sie gültige Erkennungen und erfordern eine Untersuchung, da sie Möglicherweise Teil eines erweiterten Angriffs sind.
Hoch Warnungen, die häufig im Zusammenhang mit advanced persistent threats (APT) angezeigt werden. Diese Warnungen weisen auf ein hohes Risiko aufgrund der Schwere der Schäden hin, die sie an Vermögenswerten anrichten können. Einige Beispiele sind: Aktivitäten zum Diebstahl von Anmeldeinformationen, Ransomware-Aktivitäten, die keiner Gruppe zugeordnet sind, Manipulation von Sicherheitssensoren oder böswillige Aktivitäten, die auf einen menschlichen Angreifer hindeuten.
unknownFutureValue Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

alertStatus-Werte

Member Beschreibung
unknown Unbekannter Status.
Neu Neue Warnung.
inProgress Die Warnung wird in Der Entschärfung ausgeführt.
resolved Die Warnung befindet sich im aufgelösten Zustand.
unknownFutureValue Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

serviceSource-Werte

Wert Beschreibung
unknown Unbekannte Dienstquelle.
microsoftDefenderForEndpoint Microsoft Defender für Endpunkt.
microsoftDefenderForIdentity Microsoft Defender for Identity.
microsoftDefenderForCloudApps Microsoft Defender for Cloud Apps.
microsoftDefenderForOffice365 Microsoft Defender für Office365.
microsoft365Defender Microsoft 365 Defender.
azureAdIdentityProtection Microsoft Entra ID Protection.
microsoftAppGovernance Microsoft-App-Governance.
dataLossPrevention Microsoft Purview Data Loss Prevention( Verhinderung von Datenverlust).
unknownFutureValue Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.
microsoftDefenderForCloud Microsoft Defender for Cloud.
microsoftSentinel Microsoft Sentinel.

detectionSource-Werte

Wert Beschreibung
unknown Unbekannte Erkennungsquelle.
microsoftDefenderForEndpoint Microsoft Defender für Endpunkt.
Antivirenprogramm Antivirensoftware.
smartScreen Microsoft Defender SmartScreen.
customTi Benutzerdefinierte Threat Intelligence.
microsoftDefenderForOffice365 Microsoft Defender für Office 365.
automatedInvestigation Automatisierte Untersuchung.
microsoftThreatExperts Microsoft-Bedrohungsexperten.
customDetection Benutzerdefinierte Erkennung.
microsoftDefenderForIdentity Microsoft Defender for Identity.
cloudAppSecurity Cloud-App-Sicherheit.
microsoft365Defender Microsoft 365 Defender.
azureAdIdentityProtection Microsoft Entra ID Protection.
Manuell Manuelle Erkennung.
microsoftDataLossPrevention Microsoft Purview Data Loss Prevention( Verhinderung von Datenverlust).
appGovernancePolicy App-Governance-Richtlinie.
appGovernanceDetection App-Governance-Erkennung.
unknownFutureValue Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.
microsoftDefenderForCloud Microsoft Defender for Cloud.
microsoftDefenderForIoT Microsoft Defender für IoT.
microsoftDefenderForServers Microsoft Defender für Server.
microsoftDefenderForStorage Microsoft Defender für Storage.
microsoftDefenderForDNS Microsoft Defender für DNS.
microsoftDefenderForDatabases Microsoft Defender für Datenbanken.
microsoftDefenderForContainers Microsoft Defender für Container.
microsoftDefenderForNetwork Microsoft Defender für Netzwerk.
microsoftDefenderForAppService Microsoft Defender für App Service.
microsoftDefenderForKeyVault Microsoft Defender für Key Vault.
microsoftDefenderForResourceManager Microsoft Defender für Resource Manager.
microsoftDefenderForApiManagement Microsoft Defender für Api Management.
microsoftSentinel Microsoft Sentinel.
nrtAlerts Sentinel NRT-Warnungen.
scheduledAlerts Geplante Sentinel-Warnungen.
microsoftDefenderThreatIntelligenceAnalytics Sentinel Threat Intelligence-Warnungen.
builtInMl Integriertes Ml von Sentinel.

Beziehungen

Keine.

JSON-Darstellung

Die folgende JSON-Darstellung zeigt den Ressourcentyp.

{
  "@odata.type": "#microsoft.graph.security.alert",
  "id": "String (identifier)",
  "providerAlertId": "String",
  "incidentId": "String",
  "status": "String",
  "severity": "String",
  "classification": "String",
  "determination": "String",
  "serviceSource": "String",
  "detectionSource": "String",
  "productName": "String",
  "detectorId": "String",
  "tenantId": "String",
  "title": "String",
  "description": "String",
  "recommendedActions": "String",
  "category": "String",
  "assignedTo": "String",
  "alertWebUrl": "String",
  "incidentWebUrl": "String",
  "actorDisplayName": "String",
  "threatDisplayName": "String",
  "threatFamilyName": "String",
  "mitreTechniques": [
    "String"
  ],
  "createdDateTime": "String (timestamp)",
  "lastUpdateDateTime": "String (timestamp)",
  "resolvedDateTime": "String (timestamp)",
  "firstActivityDateTime": "String (timestamp)",
  "lastActivityDateTime": "String (timestamp)",
  "comments": [
    {
      "@odata.type": "microsoft.graph.security.alertComment"
    }
  ],
  "evidence": [
    {
      "@odata.type": "microsoft.graph.security.alertEvidence"
    }
  ],
  "systemTags" : [
    "String",
    "String"
  ],
  "additionalData": {
    "@odata.type": "microsoft.graph.security.dictionary"
  }
}