tipo de recurso alertEvidence

Espaço de nomes: microsoft.graph.security

Representa provas relacionadas com um alerta.

O tipo de base alertEvidence e os respetivos tipos de evidência derivados fornecem um meio para organizar e controlar dados avançados sobre cada artefacto envolvido num alerta. Por exemplo, um alerta sobre o endereço IP de um atacante que inicia sessão num serviço cloud com uma conta de utilizador comprometida pode controlar as seguintes provas:

Este recurso é o tipo base para os seguintes tipos de provas:

Propriedades

Propriedade Tipo Descrição
createdDateTime DateTimeOffset A data e hora em que as provas foram criadas e adicionadas ao alerta. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z.
detailedRoles String collection Descrição detalhada da função/s da entidade num alerta. Os valores são de forma livre.
remediationStatus microsoft.graph.security.evidenceRemediationStatus Estado da ação de remediação tomada. Os valores possíveis são: none, remediated, prevented, blocked, notFound, unknownFutureValue.
remediationStatusDetails Cadeia de caracteres Detalhes sobre o estado de remediação.
funções microsoft.graph.security.evidenceRole collection A função/s que uma entidade de evidência representa num alerta, por exemplo, um endereço IP associado a um atacante tem a função de prova Atacante.
tags String collection Matriz de etiquetas personalizadas associadas a uma instância de provas, por exemplo, para denotar um grupo de dispositivos, ativos de alto valor, etc.
veredicto microsoft.graph.security.evidenceVerdict A decisão tomada pela investigação automatizada. Os valores possíveis são: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue.

detectionSource values (valores de detectionSource)

Valor Descrição
detetado Foi detetado um produto da ameaça executada.
bloqueado A ameaça foi remediada no tempo de execução.
impedida A ameaça foi impedida de ocorrer (em execução, a transferir, etc.).
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.

evidenceRemediationStatus values (valores evidenceRemediationStatus)

Member Descrição
none Não foram encontradas ameaças.
remediado A ação de remediação foi concluída com êxito.
impedida A ameaça foi impedida de ser executada.
bloqueado A ameaça foi bloqueada durante a execução.
notFound As provas não foram encontradas.
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.

valores evidenceRole

Member Descrição
desconhecido A função de prova é desconhecida.
contextual Uma entidade que surgiu provavelmente benigna, mas que foi reportada como um efeito colateral da ação de um atacante. Por exemplo, o processo de services.exe benigno foi utilizado para iniciar um serviço malicioso.
digitalizada Uma entidade identificada como alvo de ações de análise ou reconhecimento de deteção. Por exemplo, foi utilizado um detetor de porta para analisar uma rede.
source A entidade de origem da atividade. Por exemplo, um dispositivo, utilizador, endereço IP ou assim sucessivamente.
destino A entidade para a qual a atividade foi enviada. Por exemplo, um dispositivo, utilizador, endereço IP ou assim sucessivamente.
criadas A entidade foi criada como resultado das ações de um atacante. Por exemplo, foi criada uma conta de utilizador.
adicionado A entidade foi adicionada como resultado das ações de um atacante. Por exemplo, uma conta de utilizador foi adicionada a um grupo de permissões.
comprometido A entidade foi comprometida e está sob o controlo de um atacante. Por exemplo, uma conta de utilizador foi comprometida e utilizada para iniciar sessão num serviço cloud.
editado A entidade foi editada ou alterada por um atacante. Por exemplo, a chave de registo de um serviço foi editada para apontar para a localização de um novo payload malicioso.
atacado A entidade foi atacada. Por exemplo, um dispositivo foi visado num ataque DDoS.
atacante A entidade representa o atacante. Por exemplo, o endereço IP do atacante observou o início de sessão num serviço cloud com uma conta de utilizador comprometida.
commandAndControl A entidade está a ser utilizada para comando e controlo. Por exemplo, um domínio C2 (comando e controlo) utilizado por software maligno.
carregado A entidade foi carregada por um processo sob o controlo de um atacante. Por exemplo, uma DLL foi carregada para um processo controlado por atacantes.
suspeito A entidade é suspeita de ser maliciosa ou controlada por um atacante, mas não foi incriminada.
policyViolator A entidade é um violador de uma política definida pelo cliente.
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.

evidenceRemediationStatus values (valores evidenceRemediationStatus)

Member Descrição
desconhecido Nenhum veredicto foi determinado para as provas.
suspeito Ações de remediação recomendadas a aguardar aprovação.
malicioso As provas foram determinadas como maliciosas.
limpar Nenhuma ameaça foi detectada- as provas são benignas.
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.

valores evidenceVerdict

Member Descrição
desconhecido Nenhum veredicto foi determinado para as provas.
suspeito Ações de remediação recomendadas a aguardar aprovação.
malicioso As provas foram determinadas como maliciosas.
noThreatsFound Nenhuma ameaça foi detectada- as provas são benignas.
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.

Relações

Nenhum

Representação JSON

A representação JSON seguinte mostra o tipo de recurso.

{
  "@odata.type": "#microsoft.graph.security.alertEvidence",
  "createdDateTime": "String (timestamp)",
  "verdict": "String",
  "remediationStatus": "String",
  "remediationStatusDetails": "String",
  "roles": [
    "String"
  ],
  "detailedRoles": [
    "String"
  ],
  "tags": [
    "String"
  ]
}