type de ressource alerte

Namespace : microsoft.graph.security

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Cette ressource correspond à la dernière génération d’alertes dans l’API de sécurité Microsoft Graph. Il représente des problèmes de sécurité potentiels au sein du locataire d’un client. Ces problèmes sont identifiés par Microsoft 365 Defender ou un fournisseur de sécurité intégré à Microsoft 365 Defender.

Les fournisseurs de sécurité créent une alerte dans le système lorsqu’ils détectent une menace. Microsoft 365 Defender extrait ces données d’alerte du fournisseur de sécurité et consomme les données d’alerte pour retourner des indices précieux dans une ressource d’alerte sur toute attaque associée, les ressources impactées et les preuves associées. Il met automatiquement en corrélation d’autres alertes avec les mêmes techniques d’attaque ou le même attaquant dans un incident pour fournir un contexte plus large d’une attaque. Ce regroupement d’alertes permet plus facilement aux analystes d’étudier les menaces collectivement et d’y répondre.

Remarque

Cette ressource est l’un des deux types d’alertes qu’offre la version bêta de l’API de sécurité Microsoft Graph. Pour plus d’informations, consultez alertes.

Méthodes

Méthode Type de retour Description
List collection microsoft.graph.security.alert Obtenez la liste des ressources d’alerte qui effectuent le suivi des activités suspectes dans une organisation.
Obtenir microsoft.graph.security.alert Obtient les propriétés d’un objet d’alerte dans une organisation en fonction de la propriété d’ID d’alerte spécifiée.
Mettre à jour microsoft.graph.security.alert Mettez à jour les propriétés d’un objet d’alerte dans une organisation en fonction de la propriété d’ID d’alerte spécifiée.
Créer un commentaire alertComment Créez un commentaire pour une alerte existante en fonction de la propriété d’ID d’alerte spécifiée.

Propriétés

Propriété Type Description
actorDisplayName Chaîne Adversaire ou groupe d’activités associé à cette alerte.
additionalData microsoft.graph.security.dictionary Collection d’autres propriétés d’alerte, y compris les propriétés définies par l’utilisateur. Tous les détails personnalisés définis dans l’alerte et tout contenu dynamique dans les détails de l’alerte sont stockés ici.
alertPolicyId Chaîne ID de la stratégie qui a généré l’alerte et renseigné lorsqu’une stratégie spécifique a généré l’alerte, qu’elle soit configurée par un client ou une stratégie intégrée.
alertWebUrl Chaîne URL de la page d’alerte du portail Microsoft 365 Defender.
assignedTo Chaîne Propriétaire de l’alerte, ou null si aucun propriétaire n’est affecté.
category String Catégorie de kill-chain d’attaque à laquelle appartient l’alerte. Aligné avec l’infrastructure MITRE ATT&CK.
classification microsoft.graph.security.alertClassification Spécifie si l’alerte représente une véritable menace. Les valeurs possibles sont les suivantes : unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
commentaires collection microsoft.graph.security.alertComment Tableau de commentaires créé par l’équipe Des opérations de sécurité (SecOps) pendant le processus de gestion des alertes.
createdDateTime DateTimeOffset Heure à laquelle Microsoft 365 Defender a créé l’alerte.
description Chaîne Valeur de chaîne décrivant chaque alerte.
detectionSource microsoft.graph.security.detectionSource Technologie de détection ou capteur qui a identifié le composant ou l’activité notable. Les valeurs possibles sont , unknownmicrosoftDefenderForEndpoint, antivirus, smartScreen, customTimicrosoftDefenderForOffice365, microsoftDefenderForIdentitycustomDetectionautomatedInvestigationmicrosoftThreatExperts, appGovernanceDetectionmanualunknownFutureValueazureAdIdentityProtectionmicrosoftDataLossPreventionappGovernancePolicymicrosoft365DefendercloudAppSecurity, microsoftDefenderForIoTmicrosoftDefenderForCloud, . builtInMlmicrosoftDefenderForServersmicrosoftDefenderForStoragemicrosoftDefenderForDNSmicrosoftDefenderForDatabasesmicrosoftDefenderForContainersmicrosoftDefenderForNetworkmicrosoftDefenderForAppServicemicrosoftDefenderForKeyVaultmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalytics Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : microsoftDefenderForCloud, microsoftDefenderForIoT, microsoftDefenderForServers, microsoftDefenderForDNSmicrosoftDefenderForNetworkmicrosoftDefenderForStoragemicrosoftDefenderForContainersmicrosoftDefenderForDatabases, microsoftDefenderForAppService, , . builtInMlmicrosoftDefenderForKeyVaultmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalytics
detectorId Chaîne ID du détecteur qui a déclenché l’alerte.
productName Chaîne Nom du produit qui a publié cette alerte.
détermination microsoft.graph.security.alertDetermination Spécifie le résultat de l’examen, si l’alerte représente une véritable attaque et, le cas échéant, la nature de l’attaque. Les valeurs possibles sont les suivantes : unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication et unknownFutureValue.
preuve collection microsoft.graph.security.alertEvidence Collection de preuves liées à l’alerte.
firstActivityDateTime DateTimeOffset Activité la plus ancienne associée à l’alerte.
id Chaîne Identificateur unique pour représenter la ressource d’alerte .
incidentId Chaîne Identificateur unique pour représenter l’incident à laquelle cette ressource d’alerte est associée.
incidentWebUrl Chaîne URL de la page d’incident dans le portail Microsoft 365 Defender.
lastActivityDateTime DateTimeOffset Activité la plus ancienne associée à l’alerte.
lastUpdateDateTime DateTimeOffset Heure de la dernière mise à jour de l’alerte sur Microsoft 365 Defender.
mitreTechniques Collection(Edm.String) Les techniques d’attaque, telles qu’alignées avec le framework MITRE ATT&CK.
providerAlertId Chaîne ID de l’alerte tel qu’il apparaît dans le produit du fournisseur de sécurité qui a généré l’alerte.
recommendedActions Chaîne Actions de réponse et de correction recommandées à prendre dans le cas où cette alerte a été générée.
resolvedDateTime DateTimeOffset Heure à laquelle l’alerte a été résolue.
serviceSource microsoft.graph.security.serviceSource Service ou produit qui a créé cette alerte. Les valeurs possibles sont les suivantes : unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud et microsoftSentinel. Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : microsoftDefenderForCloud, microsoftSentinel.
Sévérité microsoft.graph.security.alertSeverity Indique l’impact possible sur les ressources. Plus la gravité est élevée, plus l’impact est important. En règle générale, les éléments de gravité plus élevés nécessitent l’attention la plus immédiate. Les valeurs possibles sont unknown, informational, low, medium, high, unknownFutureValue.
status microsoft.graph.security.alertStatus État de l’alerte. Les valeurs possibles sont les suivantes : new, inProgress, resolved, unknownFutureValue.
tenantId Chaîne Locataire Microsoft Entra dans lequel l’alerte a été créée.
threatDisplayName Chaîne Menace associée à cette alerte.
threatFamilyName Chaîne Famille de menaces associée à cette alerte.
title Chaîne Brève valeur de chaîne d’identification décrivant l’alerte.
systemTags String collection Balises système associées à l’alerte.

valeurs alertClassification

Member Description
unknown L’alerte n’est pas encore classifiée.
falsePositive L’alerte est un faux positif qui n’a pas détecté d’activité malveillante.
truePositive L’alerte est vraiment positive et détecte les activités malveillantes.
informationalExpectedActivity L’alerte est positive sans gravité et a détecté une activité potentiellement malveillante par un utilisateur de confiance/interne, par exemple, des tests de sécurité.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

valeurs alertDetermination

Member Description
unknown Aucune valeur de détermination n’a encore été définie.
apte Une véritable alerte positive qui a détecté une menace persistante avancée.
programme malveillant Une véritable alerte positive qui détecte les logiciels malveillants.
securityPersonnel Une véritable alerte positive qui a détecté une activité suspecte valide effectuée par une personne de l’équipe de sécurité du client.
securityTesting L’alerte a détecté une activité suspecte valide qui a été effectuée dans le cadre d’un test de sécurité connu.
unwantedSoftware L’alerte a détecté des logiciels indésirables.
autre Autre détermination.
multiStagedAttack Une véritable alerte positive qui a détecté plusieurs étapes d’attaque de chaîne de destruction.
compromisedAccount Une véritable alerte positive qui a détecté que les informations d’identification de l’utilisateur prévu ont été compromises ou volées.
hameçonnage Une véritable alerte positive qui a détecté un e-mail de hameçonnage.
maliciousUserActivity Une véritable alerte positive qui détecte que l’utilisateur connecté effectue des activités malveillantes.
notMalicious Une fausse alerte, aucune activité suspecte.
notEnoughDataToValidate Une fausse alerte, sans suffisamment d’informations pour prouver le contraire.
confirmActivity L’alerte a détecté une activité suspecte réelle qui est considérée comme OK car il s’agit d’une activité utilisateur connue.
lineOfBusinessApplication L’alerte a détecté une activité suspecte qui est considérée comme OK car il s’agit d’une application interne connue et confirmée.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

valeurs alertSeverity

Member Description
unknown Gravité inconnue.
informationnel Les alertes qui peuvent ne pas être actionnables ou considérées comme dangereuses pour le réseau, mais qui peuvent favoriser la sensibilisation de l’organisation à la sécurité sur les problèmes de sécurité potentiels.
bas Alertes sur les menaces associées à des programmes malveillants répandus. Par exemple, les outils de piratage et les outils de piratage non malveillants, tels que l’exécution de commandes d’exploration et l’effacement des journaux, qui n’indiquent souvent pas une menace avancée ciblant l’organisation. Il peut également provenir d’un outil de sécurité isolé qu’un utilisateur de votre organisation teste.
medium Alertes générées à partir de détections et de comportements de réponse post-violation qui peuvent faire partie d’une menace persistante avancée (APT). Ces alertes incluent des comportements observés typiques des phases d’attaque, une modification anormale du Registre, l’exécution de fichiers suspects, etc. Bien que certaines puissent être dues à des tests de sécurité internes, il s’agit de détections valides et nécessitent une investigation, car elles peuvent faire partie d’une attaque avancée.
haut Alertes couramment observées associées aux menaces persistantes avancées (APT). Ces alertes indiquent un risque élevé en raison de la gravité des dommages qu’elles peuvent causer à des biens. Voici quelques exemples : les activités d’outils de vol d’informations d’identification, les activités de ransomware qui ne sont associées à aucun groupe, la falsification des capteurs de sécurité ou toute activité malveillante indiquant un adversaire humain.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

Valeurs alertStatus

Member Description
unknown État inconnu.
Nouveau Nouvelle alerte.
inProgress L’alerte est en cours d’atténuation.
résolu L’alerte est dans l’état résolu.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

valeurs serviceSource

Valeur Description
unknown Source de service inconnue.
microsoftDefenderForEndpoint Microsoft Defender pour point de terminaison.
microsoftDefenderForIdentity Microsoft Defender pour l’identité.
microsoftDefenderForCloudApps Microsoft Defender pour Cloud Apps.
microsoftDefenderForOffice365 Microsoft Defender pour Office 365.
microsoft365Defender Microsoft 365 Defender.
azureAdIdentityProtection Microsoft Entra ID Protection.
microsoftAppGovernance Gouvernance des applications Microsoft.
dataLossPrevention Protection contre la perte de données Microsoft Purview.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.
microsoftDefenderForCloud Microsoft Defender pour le cloud.
microsoftSentinel Microsoft Sentinel.

valeurs detectionSource

Valeur Description
unknown Source de détection inconnue.
microsoftDefenderForEndpoint Microsoft Defender pour point de terminaison.
antivirus Logiciel antivirus.
smartScreen Microsoft Defender SmartScreen.
customTi Renseignement sur les menaces personnalisé.
microsoftDefenderForOffice365 Microsoft Defender pour Office 365.
automatedInvestigation Investigation automatisée.
microsoftThreatExperts Experts en menaces Microsoft.
customDetection Détection personnalisée.
microsoftDefenderForIdentity Microsoft Defender pour l’identité.
cloudAppSecurity Sécurité des applications cloud.
microsoft365Defender Microsoft 365 Defender.
azureAdIdentityProtection Microsoft Entra ID Protection.
Manuelle Détection manuelle.
microsoftDataLossPrevention Protection contre la perte de données Microsoft Purview.
appGovernancePolicy Stratégie de gouvernance des applications.
appGovernanceDetection Détection de la gouvernance des applications.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.
microsoftDefenderForCloud Microsoft Defender pour le cloud.
microsoftDefenderForIoT Microsoft Defender pour IoT.
microsoftDefenderForServers Microsoft Defender pour serveurs.
microsoftDefenderForStorage Microsoft Defender pour le stockage.
microsoftDefenderForDNS Microsoft Defender pour DNS.
microsoftDefenderForDatabases Microsoft Defender pour les bases de données.
microsoftDefenderForContainers Microsoft Defender pour conteneurs.
microsoftDefenderForNetwork Microsoft Defender pour le réseau.
microsoftDefenderForAppService Microsoft Defender pour App Service.
microsoftDefenderForKeyVault Microsoft Defender pour Key Vault.
microsoftDefenderForResourceManager Microsoft Defender pour Resource Manager.
microsoftDefenderForApiManagement Microsoft Defender pour la gestion des API.
microsoftSentinel Microsoft Sentinel.
nrtAlerts Alertes NRT Sentinel.
scheduledAlerts Alertes planifiées Sentinel.
microsoftDefenderThreatIntelligenceAnalytics Alertes Sentinel Threat Intelligence.
builtInMl ML intégré à Sentinel.

Relations

Aucun.

Représentation JSON

La représentation JSON suivante montre le type de ressource.

{
  "@odata.type": "#microsoft.graph.security.alert",
  "id": "String (identifier)",
  "providerAlertId": "String",
  "incidentId": "String",
  "status": "String",
  "severity": "String",
  "classification": "String",
  "determination": "String",
  "serviceSource": "String",
  "detectionSource": "String",
  "productName": "String",
  "detectorId": "String",
  "tenantId": "String",
  "title": "String",
  "description": "String",
  "recommendedActions": "String",
  "category": "String",
  "assignedTo": "String",
  "alertWebUrl": "String",
  "incidentWebUrl": "String",
  "actorDisplayName": "String",
  "threatDisplayName": "String",
  "threatFamilyName": "String",
  "mitreTechniques": [
    "String"
  ],
  "createdDateTime": "String (timestamp)",
  "lastUpdateDateTime": "String (timestamp)",
  "resolvedDateTime": "String (timestamp)",
  "firstActivityDateTime": "String (timestamp)",
  "lastActivityDateTime": "String (timestamp)",
  "comments": [
    {
      "@odata.type": "microsoft.graph.security.alertComment"
    }
  ],
  "evidence": [
    {
      "@odata.type": "microsoft.graph.security.alertEvidence"
    }
  ],
  "systemTags" : [
    "String",
    "String"
  ],
  "additionalData": {
    "@odata.type": "microsoft.graph.security.dictionary"
  }
}