Тип ресурса alert (не рекомендуется)
Пространство имен: microsoft.graph
Важно!
API версии /beta
в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Примечание.
Устаревший API оповещений устарел и будет удален к апрелю 2026 г. Рекомендуется перейти на новый API оповещений и инцидентов .
Этот ресурс соответствует первому поколению оповещений в API безопасности Microsoft Graph, представляющих потенциальные проблемы безопасности в клиенте клиента, определяемые корпорацией Майкрософт или решением безопасности партнера.
Этот тип оповещений объединяет вызовы поддерживаемых поставщиков безопасности Azure и Microsoft 365 Defender, перечисленных в разделе Использование API безопасности Microsoft Graph. Он объединяет общие данные оповещений между различными доменами, что позволяет приложениям унифицировать и оптимизировать управление проблемами безопасности во всех интегрированных решениях.
Дополнительные сведения см. в примерах запросов в песочнице Graph.
Примечание.
Этот ресурс является одним из двух типов оповещений, которые предлагает бета-версия API безопасности Microsoft Graph. Дополнительные сведения см. в разделе Оповещения.
Методы
Метод | Возвращаемый тип | Описание |
---|---|---|
Получение оповещения | alert | Чтение свойств и связей объекта alert. |
Обновление оповещения | alert | Обновление объекта alert. |
Перечисление оповещений | Коллекция alert | Получение коллекции объектов alert. |
Обновление нескольких оповещений | Коллекция alert | Обновление нескольких объектов оповещений. |
Свойства
Свойство | Тип | Описание |
---|---|---|
activityGroupName | String | Имя или псевдоним группы действий (злоумышленник), с которым связано это оповещение. |
assignedTo | String | Имя аналитика, которому назначено оповещение для рассмотрения, изучения или исправления (поддерживает обновление). |
azureSubscriptionId | String | Идентификатор подписки Azure, указываемый, если это оповещение связано с ресурсом Azure. |
azureTenantId | String | Microsoft Entra идентификатор клиента. Обязательный атрибут. |
category | String | Категория оповещения (например, credentialTheft, программа-шантажист). |
closedDateTime | DateTimeOffset | Время закрытия оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z (поддерживает обновление). |
cloudAppStates | Коллекция cloudAppSecurityState | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком об облачных приложениях, относящихся к оповещению. |
comments | Коллекция String | Предоставляемые пользователями комментарии об оповещении (для управления пользовательскими оповещениями) (поддерживает обновление). |
confidence | Int32 | Достоверность логики обнаружения (процентное значение от 1 до 100). |
createdDateTime | DateTimeOffset | Время создания оповещения поставщиком оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z . Обязательный. |
description | String | Описание оповещения. |
detectionIds | Коллекция String | Набор оповещений, связанных с объектом оповещения (каждое оповещение передается в SIEM как отдельная запись). |
eventDateTime | DateTimeOffset | Время, когда произошло событие или события, которые служили триггером для создания оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z . Обязательный атрибут. |
feedback | alertFeedback | Отзыв аналитика об оповещении. Возможные значения: unknown , truePositive , falsePositive , benignPositive . Поддерживает обновление. |
fileStates | Коллекция fileSecurityState | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о файлах, относящихся к оповещению. |
historyStates | Коллекция alertHistoryState | Коллекция alertHistoryStates , содержащая журнал аудита всех обновлений, внесенных в оповещение. |
hostStates | Коллекция hostSecurityState | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком об узлах, относящихся к оповещению. |
id | String | GUID или уникальный идентификатор, созданный поставщиком. Только для чтения. Обязательный. |
incidentIds | Коллекция String | Идентификаторы инцидентов, связанных с текущим оповещением. |
lastModifiedDateTime | DateTimeOffset | Время последнего изменения объекта оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z . |
malwareStates | Коллекция malwareState | Аналитика угроз, относящаяся к вредоносным программам, связанным с оповещением. |
networkConnections | Коллекция networkConnection | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о сетевых подключениях, относящихся к оповещению. |
processes | Коллекция process | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о процессе или процессах, относящихся к оповещению. |
recommendedActions | Коллекция String | Рекомендуемые поставщиком действия в ответ на оповещение (например, изоляция компьютера, применение двухфакторной проверки подлинности, повторное создание образа узла). |
registryKeyStates | Коллекция registryKeyState | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком о разделах реестра, относящихся к оповещению. |
securityResources | Коллекция securityResource | Ресурсы, связанные с текущим оповещением. Например, для некоторых предупреждений это может быть значение ресурса Azure. |
severity | alertSeverity | Серьезность оповещения, заданная поставщиком. Возможные значения: unknown , informational , low , medium , high . Обязательный атрибут. |
sourceMaterials | Коллекция String | Гиперссылки (URI) на исходный материал, связанный с оповещением, например на пользовательский интерфейс поставщика для оповещений или поиск по журналам. |
status | alertStatus | Оповещение о состоянии жизненного цикла (этапа). Возможные значения: unknown , newAlert , inProgress , resolved . (Поддерживает обновление). Обязательный атрибут. |
tags | Коллекция String | Определяемые пользователем метки, которые могут применяться к оповещению и служить в качестве условий фильтра (например, "HVA", "SAW") (поддерживает обновление). |
title | String | Заголовок оповещения. Обязательный атрибут. |
triggers | Коллекция alertTrigger | Сведения, связанные с безопасностью, об определенных свойствах, запустивших оповещение (свойства, отображаемые в оповещении). Оповещения могут содержать сведения о нескольких пользователях, узлах, файлах, IP-адресах. Это поле указывает, какие свойства запустили создание оповещения. |
userStates | Коллекция userSecurityState | Сведения, связанные с отслеживанием состояния безопасности, созданные поставщиком об учетных записях пользователей, относящихся к оповещению. |
vendorInformation | securityVendorInformation | Сложный тип, содержащий подробные сведения о безопасности продавца продукта или услуги, поставщика субпоставщика (например, продавец = Майкрософт; поставщик = ATP в Защитнике Windows; субпоставщик = AppLocker). Обязательный атрибут. |
vulnerabilityStates | Коллекция vulnerabilityState | Аналитика угроз, относящаяся к одной или нескольким уязвимостям, связанным с оповещением. |
Отношения
Отсутствуют.
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"activityGroupName": "String",
"assignedTo": "String",
"azureSubscriptionId": "String",
"azureTenantId": "String",
"category": "String",
"closedDateTime": "String (timestamp)",
"cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
"comments": ["String"],
"confidence": 1024,
"createdDateTime": "String (timestamp)",
"description": "String",
"detectionIds": ["String"],
"eventDateTime": "String (timestamp)",
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
"historyStates": [{"@odata.type": "microsoft.graph.alertHistoryState"}],
"hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
"id": "String (identifier)",
"incidentIds": ["String"],
"lastModifiedDateTime": "String (timestamp)",
"malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
"networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
"processes": [{"@odata.type": "microsoft.graph.process"}],
"recommendedActions": ["String"],
"registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
"securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"sourceMaterials": ["String"],
"status": "@odata.type: microsoft.graph.alertStatus",
"tags": ["String"],
"title": "String",
"triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
"userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
"vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
"vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}