Тип ресурса alert (не рекомендуется)

Пространство имен: microsoft.graph

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Примечание.

Устаревший API оповещений устарел и будет удален к апрелю 2026 г. Рекомендуется перейти на новый API оповещений и инцидентов .

Этот ресурс соответствует первому поколению оповещений в API безопасности Microsoft Graph, представляющих потенциальные проблемы безопасности в клиенте клиента, определяемые корпорацией Майкрософт или решением безопасности партнера.

Этот тип оповещений объединяет вызовы поддерживаемых поставщиков безопасности Azure и Microsoft 365 Defender, перечисленных в разделе Использование API безопасности Microsoft Graph. Он объединяет общие данные оповещений между различными доменами, что позволяет приложениям унифицировать и оптимизировать управление проблемами безопасности во всех интегрированных решениях.

Дополнительные сведения см. в примерах запросов в песочнице Graph.

Примечание.

Этот ресурс является одним из двух типов оповещений, которые предлагает бета-версия API безопасности Microsoft Graph. Дополнительные сведения см. в разделе Оповещения.

Методы

Метод Возвращаемый тип Описание
Получение оповещения alert Чтение свойств и связей объекта alert.
Обновление оповещения alert Обновление объекта alert.
Перечисление оповещений Коллекция alert Получение коллекции объектов alert.
Обновление нескольких оповещений Коллекция alert Обновление нескольких объектов оповещений.

Свойства

Свойство Тип Описание
activityGroupName String Имя или псевдоним группы действий (злоумышленник), с которым связано это оповещение.
assignedTo String Имя аналитика, которому назначено оповещение для рассмотрения, изучения или исправления (поддерживает обновление).
azureSubscriptionId String Идентификатор подписки Azure, указываемый, если это оповещение связано с ресурсом Azure.
azureTenantId String Microsoft Entra идентификатор клиента. Обязательный атрибут.
category String Категория оповещения (например, credentialTheft, программа-шантажист).
closedDateTime DateTimeOffset Время закрытия оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z (поддерживает обновление).
cloudAppStates Коллекция cloudAppSecurityState Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком об облачных приложениях, относящихся к оповещению.
comments Коллекция String Предоставляемые пользователями комментарии об оповещении (для управления пользовательскими оповещениями) (поддерживает обновление).
confidence Int32 Достоверность логики обнаружения (процентное значение от 1 до 100).
createdDateTime DateTimeOffset Время создания оповещения поставщиком оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. Обязательный.
description String Описание оповещения.
detectionIds Коллекция String Набор оповещений, связанных с объектом оповещения (каждое оповещение передается в SIEM как отдельная запись).
eventDateTime DateTimeOffset Время, когда произошло событие или события, которые служили триггером для создания оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. Обязательный атрибут.
feedback alertFeedback Отзыв аналитика об оповещении. Возможные значения: unknown, truePositive, falsePositive, benignPositive. Поддерживает обновление.
fileStates Коллекция fileSecurityState Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о файлах, относящихся к оповещению.
historyStates Коллекция alertHistoryState Коллекция alertHistoryStates , содержащая журнал аудита всех обновлений, внесенных в оповещение.
hostStates Коллекция hostSecurityState Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком об узлах, относящихся к оповещению.
id String GUID или уникальный идентификатор, созданный поставщиком. Только для чтения. Обязательный.
incidentIds Коллекция String Идентификаторы инцидентов, связанных с текущим оповещением.
lastModifiedDateTime DateTimeOffset Время последнего изменения объекта оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z.
malwareStates Коллекция malwareState Аналитика угроз, относящаяся к вредоносным программам, связанным с оповещением.
networkConnections Коллекция networkConnection Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о сетевых подключениях, относящихся к оповещению.
processes Коллекция process Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о процессе или процессах, относящихся к оповещению.
recommendedActions Коллекция String Рекомендуемые поставщиком действия в ответ на оповещение (например, изоляция компьютера, применение двухфакторной проверки подлинности, повторное создание образа узла).
registryKeyStates Коллекция registryKeyState Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о разделах реестра, относящихся к оповещению.
securityResources Коллекция securityResource Ресурсы, связанные с текущим оповещением. Например, для некоторых предупреждений это может быть значение ресурса Azure.
severity alertSeverity Серьезность оповещения, заданная поставщиком. Возможные значения: unknown, informational, low, medium, high. Обязательный атрибут.
sourceMaterials Коллекция String Гиперссылки (URI) на исходный материал, связанный с оповещением, например на пользовательский интерфейс поставщика для оповещений или поиск по журналам.
status alertStatus Оповещение о состоянии жизненного цикла (этапа). Возможные значения: unknown, newAlert, inProgress, resolved. (Поддерживает обновление). Обязательный атрибут.
tags Коллекция String Определяемые пользователем метки, которые могут применяться к оповещению и служить в качестве условий фильтра (например, "HVA", "SAW") (поддерживает обновление).
title String Заголовок оповещения. Обязательный атрибут.
triggers Коллекция alertTrigger Сведения, связанные с безопасностью, об определенных свойствах, запустивших оповещение (свойства, отображаемые в оповещении). Оповещения могут содержать сведения о нескольких пользователях, узлах, файлах, IP-адресах. Это поле указывает, какие свойства запустили создание оповещения.
userStates Коллекция userSecurityState Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком об учетных записях пользователей, относящихся к оповещению.
vendorInformation securityVendorInformation Сложный тип, содержащий подробные сведения о безопасности продавца продукта или услуги, поставщика субпоставщика (например, продавец = Майкрософт; поставщик = ATP в Защитнике Windows; субпоставщик = AppLocker). Обязательный атрибут.
vulnerabilityStates Коллекция vulnerabilityState Аналитика угроз, относящаяся к одной или нескольким уязвимостям, связанным с оповещением.

Отношения

Отсутствуют.

Представление JSON

В следующем представлении JSON показан тип ресурса.

{
  "activityGroupName": "String",
  "assignedTo": "String",
  "azureSubscriptionId": "String",
  "azureTenantId": "String",
  "category": "String",
  "closedDateTime": "String (timestamp)",
  "cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
  "comments": ["String"],
  "confidence": 1024,
  "createdDateTime": "String (timestamp)",
  "description": "String",
  "detectionIds": ["String"],
  "eventDateTime": "String (timestamp)",
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
  "historyStates": [{"@odata.type": "microsoft.graph.alertHistoryState"}],
  "hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
  "id": "String (identifier)",
  "incidentIds": ["String"],
  "lastModifiedDateTime": "String (timestamp)",
  "malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
  "networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
  "processes": [{"@odata.type": "microsoft.graph.process"}],
  "recommendedActions": ["String"],
  "registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
  "securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "sourceMaterials": ["String"],
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": ["String"],
  "title": "String",
  "triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
  "userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
  "vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
  "vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}