type de ressource d’incident
Espace de noms : microsoft.graph.security
Importante
Les API sous la version /beta
dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Un incident dans Microsoft 365 Defender est une collection d’instances d’alerte corrélées et de métadonnées associées qui reflètent l’histoire d’une attaque dans un locataire.
Les services et applications Microsoft 365 créent des alertes lorsqu’ils détectent un événement ou une activité suspect ou malveillant. Les alertes individuelles fournissent des indices précieux sur une attaque terminée ou en cours. Toutefois, les attaques utilisent généralement différentes techniques contre différents types d’entités, comme les appareils, les utilisateurs et les boîtes aux lettres. Le résultat est plusieurs alertes pour plusieurs entités dans votre client. Étant donné que le regroupement des alertes individuelles pour obtenir des insights sur une attaque peut s’avérer difficile et fastidieux, Microsoft 365 Defender agrège automatiquement les alertes et leurs informations associées dans un incident.
Méthodes
Méthode | Type de retour | Description |
---|---|---|
Répertorier les incidents | collection microsoft.graph.security.incident | Obtenez la liste des objets incidents créés par Microsoft 365 Defender pour suivre les attaques dans une organisation. |
Obtenir l’incident | microsoft.graph.security.incident | Lire les propriétés et les relations d’un objet incident . |
Incident de mise à jour | microsoft.graph.security.incident | Mettez à jour les propriétés d’un objet incident . |
Créer un commentaire pour l’incident | alertComment | Créez un commentaire pour un incident existant en fonction de la propriété ID d’incident spécifiée. |
Propriétés
Propriété | Type | Description |
---|---|---|
assignedTo | Chaîne | Propriétaire de l’incident, ou null si aucun propriétaire n’est affecté. Texte modifiable libre. |
classification | microsoft.graph.security.alertClassification | Spécification de l’incident. Les valeurs possibles sont les suivantes : unknown , falsePositive , truePositive , informationalExpectedActivity , unknownFutureValue . |
commentaires | collection microsoft.graph.security.alertComment | Tableau de commentaires créé par l’équipe Des opérations de sécurité (SecOps) lorsque l’incident est géré. |
createdDateTime | DateTimeOffset | Heure à laquelle l’incident a été créé pour la première fois. |
customTags | Collection de chaînes | Collection d’étiquettes personnalisées associées à un incident. |
description | Chaîne | Description de l’incident. |
description | Chaîne | Chaîne de texte enrichi qui décrit l’incident |
détermination | microsoft.graph.security.alertDetermination | Spécifie la détermination de l’incident. Les valeurs possibles sont les suivantes : unknown , apt , malware , securityPersonnel , securityTesting , unwantedSoftware , other , multiStagedAttack , compromisedUser , phishing , maliciousUserActivity , clean , insufficientData , confirmedUserActivity , lineOfBusinessApplication et unknownFutureValue . |
displayName | Chaîne | Nom de l’incident. |
id | Chaîne | Identificateur unique pour représenter l’incident. |
incidentWebUrl | Chaîne | URL de la page d’incident dans le portail Microsoft 365 Defender. |
lastModifiedBy | Chaîne | Identité qui a modifié l’incident pour la dernière fois. |
lastUpdateDateTime | DateTimeOffset | Heure de la dernière mise à jour de l’incident. |
recommendedActions | Chaîne | Chaîne de texte enrichi qui représente les actions à effectuer afin de résoudre l’incident. |
recommendedHuntingQueries | Collection(microsoft.graph.security.recommendedHuntingQuery) | Liste des requêtes kusto de repérage en langage de requête (KQL) liées à l’incident. |
redirectIncidentId | Chaîne | Rempli uniquement si un incident est regroupé avec un autre incident, dans le cadre de la logique qui traite les incidents. Dans ce cas, la propriété status est redirected . |
resolvingComment | Chaîne | Entrée utilisateur qui explique la résolution de l’incident et le choix de classification. Cette propriété contient du texte modifiable libre. |
Sévérité | alertSeverity | Indique l’impact possible sur les ressources. Plus la gravité est élevée, plus l’impact est important. En règle générale, les éléments de gravité plus élevés nécessitent l’attention la plus immédiate. Les valeurs possibles sont unknown , informational , low , medium , high , unknownFutureValue . |
status | microsoft.graph.security.incidentStatus | État de l’incident. Les valeurs possibles sont , active resolved , inProgress , redirected unknownFutureValue , et awaitingAction . |
résumé | Chaîne | Vue d’ensemble d’une attaque. Le cas échéant, le résumé contient des détails sur ce qui s’est produit, les ressources impactées et le type d’attaque. |
systemTags | String collection | Collection de balises système associées à l’incident. |
tenantId | Chaîne | Locataire Microsoft Entra dans lequel l’alerte a été créée. |
Valeurs incidentStatus
Le tableau suivant répertorie les membres d’une énumération évolutif. Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members
de requête pour obtenir les valeurs suivantes dans cette énumération évolutive : awaitingAction
.
Member | Description |
---|---|
actif | L’incident est dans l’état actif. |
résolu | L’incident est dans l’état résolu. |
inProgress | L’incident est en cours d’atténuation. |
Redirigé | L’incident a été fusionné avec un autre incident. L’ID d’incident cible apparaît dans la propriété redirectIncidentId . |
unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
a waitingAction | Cet incident nécessite des actions des experts Defender en attente de votre action. Seuls les experts Microsoft 365 Defender peuvent définir cet état. |
Relations
Relation | Type | Description |
---|---|---|
alertes | collection microsoft.graph.security.alert | Liste des alertes associées. Prend en charge $expand . |
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"recommendedActions" : "String",
"recommendedHuntingQueries" : [{"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"}],
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String"
}