Тип ресурса alert

Пространство имен: microsoft.graph.security

Этот ресурс соответствует последнему пакету оповещений, созданных API безопасности Microsoft Graph. Этот ресурс представляет собой потенциальные проблемы безопасности в клиенте клиента, обнаруженном Microsoft 365 Defender или поставщиком безопасности, интегрированным с Microsoft 365 Defender.

Когда поставщик безопасности обнаруживает угрозу, он создает оповещение в системе. Microsoft 365 Defender извлекает эти данные оповещения от поставщика безопасности и использует данные оповещений, чтобы вернуть ценные подсказки в ресурсе оповещений о любой связанной атаке, затронутых ресурсах и связанных доказательствах. Он автоматически сопоставляет другие оповещения с теми же методами атаки или того же злоумышленника с инцидентом , чтобы обеспечить более широкий контекст атаки. Агрегирование предупреждений таким способом упрощает аналитикам выполнение обобщенных расследований угроз и реагирование на такие угрозы.

Примечание.

Этот ресурс является одним из двух типов оповещений, которые предлагает версия 1.0 API безопасности Microsoft Graph. Дополнительные сведения см. в разделе Оповещения.

Методы

Метод Тип возвращаемых данных Описание
Список Коллекция microsoft.graph.security.alert Получите список ресурсов оповещений , созданных для отслеживания подозрительных действий в организации.
Получение microsoft.graph.security.alert Получите свойства объекта оповещения в организации на основе указанного свойства идентификатора оповещения.
Обновление microsoft.graph.security.alert Обновите свойства объекта оповещения в организации на основе указанного свойства идентификатора оповещения.
Создание примечания alertComment Создайте комментарий для существующего оповещения на основе указанного свойства идентификатора оповещения.

Свойства

Свойство Тип Описание
actorDisplayName String Злоумышленник или группа действий, связанные с этим оповещением.
additionalData microsoft.graph.security.dictionary Коллекция других свойств оповещений, включая определяемые пользователем свойства. Все пользовательские сведения, определенные в оповещении, и любое динамическое содержимое в сведениях об оповещении хранятся здесь.
alertPolicyId String Идентификатор политики, которая создала оповещение и заполняется при наличии определенной политики, создающей оповещение, будь то настроенная клиентом или встроенная политика.
alertWebUrl String URL-адрес страницы оповещений портала Microsoft 365 Defender.
assignedTo String Владелец оповещения или значение NULL, если владелец не назначен.
category String Категория цепочки атак, к которой относится оповещение. Согласовано с платформой MITRE ATT&CK.
classification microsoft.graph.security.alertClassification Указывает, представляет ли оповещение реальную угрозу. Возможные значения: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
comments Коллекция microsoft.graph.security.alertComment Массив комментариев, созданный командой по операциям безопасности (SecOps) в процессе управления оповещениями.
createdDateTime DateTimeOffset Время создания оповещения в Microsoft 365 Defender.
description String Строковое значение, описывающее каждое оповещение.
detectionSource microsoft.graph.security.detectionSource Технология обнаружения или датчик, который идентифицировал важный компонент или действие. Возможные значения: unknown, , antivirusmicrosoftDefenderForEndpoint, , smartScreen, microsoftDefenderForOffice365customTi, automatedInvestigation, , customDetectionmicrosoftThreatExperts, microsoftDefenderForIdentitymicrosoftDefenderForNetworkmicrosoftDefenderForDNSappGovernanceDetectionappGovernancePolicymicrosoftDefenderForIoTmicrosoftDataLossPreventionmanualunknownFutureValuemicrosoftDefenderForCloudmicrosoftDefenderForServersmicrosoftDefenderForStoragemicrosoftDefenderForDatabasesazureAdIdentityProtectionmicrosoftDefenderForContainersmicrosoftDefenderForAppServicemicrosoft365DefendercloudAppSecurity, , microsoftDefenderForKeyVault, microsoftDefenderForResourceManager, , . microsoftDefenderForApiManagementmicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalyticsbuiltInMl Необходимо использовать Prefer: include-unknown-enum-members заголовок запроса, чтобы получить следующие значения в этом развиваемом перечислении: microsoftDefenderForCloud, microsoftDefenderForIoT, , microsoftDefenderForServersmicrosoftDefenderForStorage, microsoftDefenderForDNS, microsoftDefenderForAppServicemicrosoftDefenderForResourceManagermicrosoftDefenderForDatabasesmicrosoftDefenderForKeyVaultmicrosoftDefenderForNetworkmicrosoftDefenderForContainers, , microsoftSentinelmicrosoftDefenderForApiManagement, , scheduledAlertsnrtAlerts, , . builtInMlmicrosoftDefenderThreatIntelligenceAnalytics
detectorId String Идентификатор детектора, активировав оповещение.
решимость microsoft.graph.security.alertDetermination Указывает результат исследования, указывает, представляет ли оповещение истинную атаку, и если да, то характер атаки. Возможные значения: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue.
доказательство Коллекция microsoft.graph.security.alertEvidence Коллекция доказательств, связанных с оповещением.
firstActivityDateTime DateTimeOffset Самое раннее действие, связанное с оповещением.
id String Уникальный идентификатор для представления ресурса оповещений .
incidentId String Уникальный идентификатор, представляющий инцидент , с которым связан ресурс оповещений .
incidentWebUrl String URL-адрес страницы инцидента на портале Microsoft 365 Defender.
lastActivityDateTime DateTimeOffset Самое старое действие, связанное с оповещением.
lastUpdateDateTime DateTimeOffset Время последнего обновления оповещения в Microsoft 365 Defender.
mitreTechniques Collection(Edm.String) Методы атаки в соответствии с MITRE ATT&платформы CK.
productName String Имя продукта, опубликовавшего это оповещение.
providerAlertId String Идентификатор оповещения, как оно отображается в продукте поставщика безопасности, который создал оповещение.
recommendedActions String Рекомендуемые действия по реагированию и исправлению в случае создания этого оповещения.
resolvedDateTime DateTimeOffset Время, когда оповещение было разрешено.
serviceSource microsoft.graph.security.serviceSource Служба или продукт, создавший это оповещение. Возможные значения: unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud, microsoftSentinel. Необходимо использовать Prefer: include-unknown-enum-members заголовок запроса, чтобы получить следующие значения в этой развиваемой перечислении: microsoftDefenderForCloud, microsoftSentinel.
severity microsoft.graph.security.alertSeverity Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют самого непосредственного внимания. Возможные значения: unknown, informational, low, medium, high, unknownFutureValue.
status microsoft.graph.security.alertStatus Состояние оповещения. Возможные значения: new, inProgress, resolved, unknownFutureValue.
tenantId String Клиент Microsoft Entra, в который было создано оповещение.
threatDisplayName String Угроза, связанная с этим оповещением.
threatFamilyName String Семейство угроз, связанное с этим оповещением.
title String Краткое идентифицируемое строковое значение, описывающее оповещение.
systemTags Коллекция строк Системные теги, связанные с оповещением.

значения alertClassification

Member Описание
unknown Оповещение еще не классифицировано.
falsePositive Оповещение является ложноположительным и не обнаруживает вредоносные действия.
TruePositive Оповещение является истинно положительным и обнаружено вредоносное действие.
informationalExpectedActivity Оповещение является неопасным положительным и обнаруживает потенциально вредоносные действия доверенного или внутреннего пользователя, например тестирование безопасности.
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.

значения alertDetermination

Member Описание
unknown Значение определения еще не задано.
способный Истинно положительное оповещение, обнаруживающее расширенную постоянную угрозу.
вредоносная программа Истинное положительное оповещение об обнаружении вредоносного программного обеспечения.
securityPersonnel Истинно положительное оповещение, обнаруживающее допустимые подозрительные действия, выполненные кем-то из группы безопасности клиента.
securityTesting Оповещение обнаружило допустимые подозрительные действия, выполненные в рамках известного тестирования безопасности.
unwantedSoftware Оповещение обнаружило нежелательное программное обеспечение.
другой Другое определение.
multiStagedAttack Истинно положительное оповещение, обнаруживающее несколько этапов атаки с цепочкой завершения.
compromisedAccount Истинно положительное оповещение о том, что учетные данные предполагаемого пользователя были скомпрометированы или украдены.
фишинг Истинно положительное оповещение, обнаруживающее фишинговое сообщение электронной почты.
maliciousUserActivity Истинно положительное оповещение о том, что вошедший в систему пользователь выполняет вредоносные действия.
notMalicious Ложное оповещение, нет подозрительных действий.
notEnoughDataToValidate Ложное оповещение без достаточной информации, чтобы доказать обратное.
confirmedActivity Оповещение поймало истинное подозрительное действие, которое считается ОК, так как это известное действие пользователя.
lineOfBusinessApplication Оповещение поймало истинное подозрительное действие, которое считается ОК, так как это известное и подтвержденное внутреннее приложение.
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.

alertSeverity values

Member Описание
unknown Неизвестная серьезность.
информационный Оповещения, которые могут быть неосторожными или считаются вредными для сети, но могут повысить осведомленность организации о потенциальных проблемах безопасности.
низкий Оповещения об угрозах, связанных с распространенными вредоносными программами. Например, хакерские инструменты, невредоносные средства взлома, такие как выполнение команд просмотра и очистка журналов, которые часто не указывают на расширенную угрозу, направленную на организацию. Она также может поступать из изолированного средства безопасности, которое тестирует пользователь в вашей организации.
medium Оповещения, созданные в результате обнаружения и реагирования на поведение после нарушения безопасности, которые могут быть частью расширенной постоянной угрозы (APT). Этот уровень серьезности включает в себя наблюдаемое поведение, типичное для этапов атаки, аномальное изменение реестра, выполнение подозрительных файлов и т. д. Хотя некоторые из них могут быть вызваны внутренним тестированием безопасности, они допустимы и требуют изучения, так как они могут быть частью расширенной атаки.
высокий Обычно встречаются оповещения, связанные с расширенными постоянными угрозами (APT). Эти оповещения указывают на высокий риск из-за серьезности ущерба, который они могут нанести активам. Некоторые примеры: действия с инструментами кражи учетных данных, действия программ-шантажистов, не связанные с какой-либо группой, незаконное изменение датчиков безопасности или любые вредоносные действия, указывающие на злоумышленника человека.
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.

Значения alertStatus

Member Описание
unknown Неизвестное состояние.
Новые функции Новое оповещение.
inProgress Оповещение выполняется.
resolved Оповещение находится в разрешенном состоянии.
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.

Значения serviceSource

Значение Описание
unknown Неизвестный источник службы.
microsoftDefenderForEndpoint Microsoft Defender для конечной точки.
microsoftDefenderForIdentity Microsoft Defender для удостоверений
microsoftDefenderForCloudApps Microsoft Defender for Cloud Apps.
microsoftDefenderForOffice365 Microsoft Defender для Office365.
microsoft365Defender Microsoft 365 Defender.
azureAdIdentityProtection Защита идентификатора Microsoft Entra.
MicrosoftAppGovernance Управление приложениями Майкрософт.
dataLossPrevention Защита от потери данных Microsoft Purview.
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.
microsoftDefenderForCloud Microsoft Defender для облака.
microsoftSentinel Microsoft Sentinel.

значения detectionSource

Значение Описание
unknown Неизвестный источник обнаружения.
microsoftDefenderForEndpoint Microsoft Defender для конечной точки.
антивирусная программа Антивирусная программа.
smartScreen SmartScreen в Microsoft Defender.
customTi Пользовательская аналитика угроз.
microsoftDefenderForOffice365 Microsoft Defender для Office 365.
automatedInvestigation Автоматическое исследование.
microsoftThreatExperts Эксперты по угрозам Майкрософт.
customDetection Пользовательское обнаружение.
microsoftDefenderForIdentity Microsoft Defender для удостоверений
cloudAppSecurity Безопасность облачных приложений.
microsoft365Defender Microsoft 365 Defender.
azureAdIdentityProtection Защита идентификатора Microsoft Entra.
Вручную Обнаружение вручную.
microsoftDataLossPrevention Защита от потери данных Microsoft Purview.
appGovernancePolicy Политика управления приложениями.
appGovernanceDetection Обнаружение системы управления приложениями.
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.
microsoftDefenderForCloud Microsoft Defender для облака.
microsoftDefenderForIoT Microsoft Defender для Интернета вещей.
microsoftDefenderForServers Microsoft Defender для серверов.
microsoftDefenderForStorage Microsoft Defender для хранилища.
microsoftDefenderForDNS Microsoft Defender для DNS.
microsoftDefenderForDatabases Microsoft Defender для баз данных.
microsoftDefenderForContainers Microsoft Defender для контейнеров.
microsoftDefenderForNetwork Microsoft Defender для сети.
microsoftDefenderForAppService Microsoft Defender для службы приложений.
microsoftDefenderForKeyVault Microsoft Defender для Key Vault.
microsoftDefenderForResourceManager Microsoft Defender для Resource Manager.
microsoftDefenderForApiManagement Microsoft Defender для управления API.
microsoftSentinel Microsoft Sentinel.
nrtAlerts Оповещения NRT Sentinel.
scheduledAlerts Запланированные оповещения Sentinel.
microsoftDefenderThreatIntelligenceAnalytics Оповещения аналитики угроз Sentinel.
builtInMl Sentinel Встроенное машинное обучение.

Связи

Отсутствуют.

Представление JSON

В следующем представлении JSON показан тип ресурса.

{
  "@odata.type": "#microsoft.graph.security.alert",
  "id": "String (identifier)",
  "providerAlertId": "String",
  "incidentId": "String",
  "status": "String",
  "severity": "String",
  "classification": "String",
  "determination": "String",
  "serviceSource": "String",
  "detectionSource": "String",
  "productName": "String",
  "detectorId": "String",
  "tenantId": "String",
  "title": "String",
  "description": "String",
  "recommendedActions": "String",
  "category": "String",
  "assignedTo": "String",
  "alertWebUrl": "String",
  "incidentWebUrl": "String",
  "actorDisplayName": "String",
  "threatDisplayName": "String",
  "threatFamilyName": "String",
  "mitreTechniques": [
    "String"
  ],
  "createdDateTime": "String (timestamp)",
  "lastUpdateDateTime": "String (timestamp)",
  "resolvedDateTime": "String (timestamp)",
  "firstActivityDateTime": "String (timestamp)",
  "lastActivityDateTime": "String (timestamp)",
  "comments": [
    {
      "@odata.type": "microsoft.graph.security.alertComment"
    }
  ],
  "evidence": [
    {
      "@odata.type": "microsoft.graph.security.alertEvidence"
    }
  ],
  "systemTags" : [
    "String",
    "String"
  ],
  "additionalData": {
    "@odata.type": "microsoft.graph.security.dictionary"
  }
}