type de ressource d’incident

Espace de noms : microsoft.graph.security

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Un incident dans Microsoft 365 Defender est une collection d’instances d’alerte corrélées et de métadonnées associées qui reflètent l’histoire d’une attaque dans un locataire.

Les services et applications Microsoft 365 créent des alertes lorsqu’ils détectent un événement ou une activité suspect ou malveillant. Les alertes individuelles fournissent des indices précieux sur une attaque terminée ou en cours. Toutefois, les attaques utilisent généralement différentes techniques contre différents types d’entités, comme les appareils, les utilisateurs et les boîtes aux lettres. Le résultat est plusieurs alertes pour plusieurs entités dans votre client. Étant donné que le regroupement des alertes individuelles pour obtenir des insights sur une attaque peut s’avérer difficile et fastidieux, Microsoft 365 Defender agrège automatiquement les alertes et leurs informations associées dans un incident.

Méthodes

Méthode Type de retour Description
Répertorier les incidents collection microsoft.graph.security.incident Obtenez la liste des objets incidents créés par Microsoft 365 Defender pour suivre les attaques dans une organisation.
Obtenir l’incident microsoft.graph.security.incident Lire les propriétés et les relations d’un objet incident .
Incident de mise à jour microsoft.graph.security.incident Mettez à jour les propriétés d’un objet incident .
Créer un commentaire pour l’incident alertComment Créez un commentaire pour un incident existant en fonction de la propriété ID d’incident spécifiée.

Propriétés

Propriété Type Description
assignedTo Chaîne Propriétaire de l’incident, ou null si aucun propriétaire n’est affecté. Texte modifiable libre.
classification microsoft.graph.security.alertClassification Spécification de l’incident. Les valeurs possibles sont les suivantes : unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
commentaires collection microsoft.graph.security.alertComment Tableau de commentaires créé par l’équipe Des opérations de sécurité (SecOps) lorsque l’incident est géré.
createdDateTime DateTimeOffset Heure à laquelle l’incident a été créé pour la première fois.
customTags Collection de chaînes Collection d’étiquettes personnalisées associées à un incident.
description Chaîne Description de l’incident.
description Chaîne Chaîne de texte enrichi qui décrit l’incident
détermination microsoft.graph.security.alertDetermination Spécifie la détermination de l’incident. Les valeurs possibles sont les suivantes : unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication et unknownFutureValue.
displayName Chaîne Nom de l’incident.
id Chaîne Identificateur unique pour représenter l’incident.
incidentWebUrl Chaîne URL de la page d’incident dans le portail Microsoft 365 Defender.
lastModifiedBy Chaîne Identité qui a modifié l’incident pour la dernière fois.
lastUpdateDateTime DateTimeOffset Heure de la dernière mise à jour de l’incident.
recommendedActions Chaîne Chaîne de texte enrichi qui représente les actions à effectuer afin de résoudre l’incident.
recommendedHuntingQueries Collection(microsoft.graph.security.recommendedHuntingQuery) Liste des requêtes kusto de repérage en langage de requête (KQL) liées à l’incident.
redirectIncidentId Chaîne Rempli uniquement si un incident est regroupé avec un autre incident, dans le cadre de la logique qui traite les incidents. Dans ce cas, la propriété status est redirected.
resolvingComment Chaîne Entrée utilisateur qui explique la résolution de l’incident et le choix de classification. Cette propriété contient du texte modifiable libre.
Sévérité alertSeverity Indique l’impact possible sur les ressources. Plus la gravité est élevée, plus l’impact est important. En règle générale, les éléments de gravité plus élevés nécessitent l’attention la plus immédiate. Les valeurs possibles sont unknown, informational, low, medium, high, unknownFutureValue.
status microsoft.graph.security.incidentStatus État de l’incident. Les valeurs possibles sont , activeresolved, inProgress, redirectedunknownFutureValue, et awaitingAction.
résumé Chaîne Vue d’ensemble d’une attaque. Le cas échéant, le résumé contient des détails sur ce qui s’est produit, les ressources impactées et le type d’attaque.
systemTags String collection Collection de balises système associées à l’incident.
tenantId Chaîne Locataire Microsoft Entra dans lequel l’alerte a été créée.

Valeurs incidentStatus

Le tableau suivant répertorie les membres d’une énumération évolutif. Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir les valeurs suivantes dans cette énumération évolutive : awaitingAction.

Member Description
actif L’incident est dans l’état actif.
résolu L’incident est dans l’état résolu.
inProgress L’incident est en cours d’atténuation.
Redirigé L’incident a été fusionné avec un autre incident. L’ID d’incident cible apparaît dans la propriété redirectIncidentId .
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.
a waitingAction Cet incident nécessite des actions des experts Defender en attente de votre action. Seuls les experts Microsoft 365 Defender peuvent définir cet état.

Relations

Relation Type Description
alertes collection microsoft.graph.security.alert Liste des alertes associées. Prend en charge $expand.

Représentation JSON

La représentation JSON suivante montre le type de ressource.

{
  "@odata.type": "#microsoft.graph.security.incident",
  "assignedTo": "String",
  "classification": "String",
  "comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
  "createdDateTime": "String (timestamp)",
  "customTags": ["String"],
  "description" : "String",
  "determination": "String",
  "displayName": "String",
  "id": "String (identifier)",
  "incidentWebUrl": "String",
  "lastModifiedBy": "String",
  "lastUpdateDateTime": "String (timestamp)",
  "recommendedActions" : "String",
  "recommendedHuntingQueries" : [{"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"}],
  "redirectIncidentId": "String",
  "resolvingComment": "String",
  "severity": "String",
  "status": "String",
  "summary": "String",
  "systemTags" : ["String"],
  "tenantId": "String"
}