Тип ресурса alert
Пространство имен: microsoft.graph.security
Этот ресурс соответствует последнему пакету оповещений, созданных API безопасности Microsoft Graph. Этот ресурс представляет собой потенциальные проблемы безопасности в клиенте клиента, обнаруженном Microsoft 365 Defender или поставщиком безопасности, интегрированным с Microsoft 365 Defender.
Когда поставщик безопасности обнаруживает угрозу, он создает оповещение в системе. Microsoft 365 Defender извлекает эти данные оповещения от поставщика безопасности и использует данные оповещений, чтобы вернуть ценные подсказки в ресурсе оповещений о любой связанной атаке, затронутых ресурсах и связанных доказательствах. Он автоматически сопоставляет другие оповещения с теми же методами атаки или того же злоумышленника с инцидентом , чтобы обеспечить более широкий контекст атаки. Агрегирование предупреждений таким способом упрощает аналитикам выполнение обобщенных расследований угроз и реагирование на такие угрозы.
Примечание.
Этот ресурс является одним из двух типов оповещений, которые предлагает версия 1.0 API безопасности Microsoft Graph. Дополнительные сведения см. в разделе Оповещения.
Методы
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Список | Коллекция microsoft.graph.security.alert | Получите список ресурсов оповещений , созданных для отслеживания подозрительных действий в организации. |
| Получение | microsoft.graph.security.alert | Получите свойства объекта оповещения в организации на основе указанного свойства идентификатора оповещения. |
| Обновление | microsoft.graph.security.alert | Обновите свойства объекта оповещения в организации на основе указанного свойства идентификатора оповещения. |
| Создание примечания | alertComment | Создайте комментарий для существующего оповещения на основе указанного свойства идентификатора оповещения. |
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| actorDisplayName | String | Злоумышленник или группа действий, связанные с этим оповещением. |
| additionalData | microsoft.graph.security.dictionary | Коллекция других свойств оповещений, включая определяемые пользователем свойства. Все пользовательские сведения, определенные в оповещении, и любое динамическое содержимое в сведениях об оповещении хранятся здесь. |
| alertPolicyId | String | Идентификатор политики, которая создала оповещение и заполняется при наличии определенной политики, создающей оповещение, будь то настроенная клиентом или встроенная политика. |
| alertWebUrl | String | URL-адрес страницы оповещений портала Microsoft 365 Defender. |
| assignedTo | String | Владелец оповещения или значение NULL, если владелец не назначен. |
| category | String | Категория цепочки атак, к которой относится оповещение. Согласовано с платформой MITRE ATT&CK. |
| classification | microsoft.graph.security.alertClassification | Указывает, представляет ли оповещение реальную угрозу. Возможные значения: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| comments | Коллекция microsoft.graph.security.alertComment | Массив комментариев, созданный командой по операциям безопасности (SecOps) в процессе управления оповещениями. |
| createdDateTime | DateTimeOffset | Время создания оповещения в Microsoft 365 Defender. |
| description | String | Строковое значение, описывающее каждое оповещение. |
| detectionSource | microsoft.graph.security.detectionSource | Технология обнаружения или датчик, который идентифицировал важный компонент или действие. Возможные значения: unknown, , antivirusmicrosoftDefenderForEndpoint, , smartScreen, microsoftDefenderForOffice365customTi, automatedInvestigation, , customDetectionmicrosoftThreatExperts, microsoftDefenderForIdentitymicrosoftDefenderForNetworkmicrosoftDefenderForDNSappGovernanceDetectionappGovernancePolicymicrosoftDefenderForIoTmicrosoftDataLossPreventionmanualunknownFutureValuemicrosoftDefenderForCloudmicrosoftDefenderForServersmicrosoftDefenderForStoragemicrosoftDefenderForDatabasesazureAdIdentityProtectionmicrosoftDefenderForContainersmicrosoftDefenderForAppServicemicrosoft365DefendercloudAppSecurity, , microsoftDefenderForKeyVault, microsoftDefenderForResourceManager, , . microsoftDefenderForApiManagementmicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalyticsbuiltInMl Необходимо использовать Prefer: include-unknown-enum-members заголовок запроса, чтобы получить следующие значения в этом развиваемом перечислении: microsoftDefenderForCloud, microsoftDefenderForIoT, , microsoftDefenderForServersmicrosoftDefenderForStorage, microsoftDefenderForDNS, microsoftDefenderForAppServicemicrosoftDefenderForResourceManagermicrosoftDefenderForDatabasesmicrosoftDefenderForKeyVaultmicrosoftDefenderForNetworkmicrosoftDefenderForContainers, , microsoftSentinelmicrosoftDefenderForApiManagement, , scheduledAlertsnrtAlerts, , . builtInMlmicrosoftDefenderThreatIntelligenceAnalytics |
| detectorId | String | Идентификатор детектора, активировав оповещение. |
| решимость | microsoft.graph.security.alertDetermination | Указывает результат исследования, указывает, представляет ли оповещение истинную атаку, и если да, то характер атаки. Возможные значения: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue. |
| доказательство | Коллекция microsoft.graph.security.alertEvidence | Коллекция доказательств, связанных с оповещением. |
| firstActivityDateTime | DateTimeOffset | Самое раннее действие, связанное с оповещением. |
| id | String | Уникальный идентификатор для представления ресурса оповещений . |
| incidentId | String | Уникальный идентификатор, представляющий инцидент , с которым связан ресурс оповещений . |
| incidentWebUrl | String | URL-адрес страницы инцидента на портале Microsoft 365 Defender. |
| lastActivityDateTime | DateTimeOffset | Самое старое действие, связанное с оповещением. |
| lastUpdateDateTime | DateTimeOffset | Время последнего обновления оповещения в Microsoft 365 Defender. |
| mitreTechniques | Collection(Edm.String) | Методы атаки в соответствии с MITRE ATT&платформы CK. |
| productName | String | Имя продукта, опубликовавшего это оповещение. |
| providerAlertId | String | Идентификатор оповещения, как оно отображается в продукте поставщика безопасности, который создал оповещение. |
| recommendedActions | String | Рекомендуемые действия по реагированию и исправлению в случае создания этого оповещения. |
| resolvedDateTime | DateTimeOffset | Время, когда оповещение было разрешено. |
| serviceSource | microsoft.graph.security.serviceSource | Служба или продукт, создавший это оповещение. Возможные значения: unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud, microsoftSentinel. Необходимо использовать Prefer: include-unknown-enum-members заголовок запроса, чтобы получить следующие значения в этой развиваемой перечислении: microsoftDefenderForCloud, microsoftSentinel. |
| severity | microsoft.graph.security.alertSeverity | Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют самого непосредственного внимания. Возможные значения: unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.alertStatus | Состояние оповещения. Возможные значения: new, inProgress, resolved, unknownFutureValue. |
| tenantId | String | Клиент Microsoft Entra, в который было создано оповещение. |
| threatDisplayName | String | Угроза, связанная с этим оповещением. |
| threatFamilyName | String | Семейство угроз, связанное с этим оповещением. |
| title | String | Краткое идентифицируемое строковое значение, описывающее оповещение. |
| systemTags | Коллекция строк | Системные теги, связанные с оповещением. |
значения alertClassification
| Member | Описание |
|---|---|
| unknown | Оповещение еще не классифицировано. |
| falsePositive | Оповещение является ложноположительным и не обнаруживает вредоносные действия. |
| TruePositive | Оповещение является истинно положительным и обнаружено вредоносное действие. |
| informationalExpectedActivity | Оповещение является неопасным положительным и обнаруживает потенциально вредоносные действия доверенного или внутреннего пользователя, например тестирование безопасности. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
значения alertDetermination
| Member | Описание |
|---|---|
| unknown | Значение определения еще не задано. |
| способный | Истинно положительное оповещение, обнаруживающее расширенную постоянную угрозу. |
| вредоносная программа | Истинное положительное оповещение об обнаружении вредоносного программного обеспечения. |
| securityPersonnel | Истинно положительное оповещение, обнаруживающее допустимые подозрительные действия, выполненные кем-то из группы безопасности клиента. |
| securityTesting | Оповещение обнаружило допустимые подозрительные действия, выполненные в рамках известного тестирования безопасности. |
| unwantedSoftware | Оповещение обнаружило нежелательное программное обеспечение. |
| другой | Другое определение. |
| multiStagedAttack | Истинно положительное оповещение, обнаруживающее несколько этапов атаки с цепочкой завершения. |
| compromisedAccount | Истинно положительное оповещение о том, что учетные данные предполагаемого пользователя были скомпрометированы или украдены. |
| фишинг | Истинно положительное оповещение, обнаруживающее фишинговое сообщение электронной почты. |
| maliciousUserActivity | Истинно положительное оповещение о том, что вошедший в систему пользователь выполняет вредоносные действия. |
| notMalicious | Ложное оповещение, нет подозрительных действий. |
| notEnoughDataToValidate | Ложное оповещение без достаточной информации, чтобы доказать обратное. |
| confirmedActivity | Оповещение поймало истинное подозрительное действие, которое считается ОК, так как это известное действие пользователя. |
| lineOfBusinessApplication | Оповещение поймало истинное подозрительное действие, которое считается ОК, так как это известное и подтвержденное внутреннее приложение. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
alertSeverity values
| Member | Описание |
|---|---|
| unknown | Неизвестная серьезность. |
| информационный | Оповещения, которые могут быть неосторожными или считаются вредными для сети, но могут повысить осведомленность организации о потенциальных проблемах безопасности. |
| низкий | Оповещения об угрозах, связанных с распространенными вредоносными программами. Например, хакерские инструменты, невредоносные средства взлома, такие как выполнение команд просмотра и очистка журналов, которые часто не указывают на расширенную угрозу, направленную на организацию. Она также может поступать из изолированного средства безопасности, которое тестирует пользователь в вашей организации. |
| medium | Оповещения, созданные в результате обнаружения и реагирования на поведение после нарушения безопасности, которые могут быть частью расширенной постоянной угрозы (APT). Этот уровень серьезности включает в себя наблюдаемое поведение, типичное для этапов атаки, аномальное изменение реестра, выполнение подозрительных файлов и т. д. Хотя некоторые из них могут быть вызваны внутренним тестированием безопасности, они допустимы и требуют изучения, так как они могут быть частью расширенной атаки. |
| высокий | Обычно встречаются оповещения, связанные с расширенными постоянными угрозами (APT). Эти оповещения указывают на высокий риск из-за серьезности ущерба, который они могут нанести активам. Некоторые примеры: действия с инструментами кражи учетных данных, действия программ-шантажистов, не связанные с какой-либо группой, незаконное изменение датчиков безопасности или любые вредоносные действия, указывающие на злоумышленника человека. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
Значения alertStatus
| Member | Описание |
|---|---|
| unknown | Неизвестное состояние. |
| Новые функции | Новое оповещение. |
| inProgress | Оповещение выполняется. |
| resolved | Оповещение находится в разрешенном состоянии. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
Значения serviceSource
| Значение | Описание |
|---|---|
| unknown | Неизвестный источник службы. |
| microsoftDefenderForEndpoint | Microsoft Defender для конечной точки. |
| microsoftDefenderForIdentity | Microsoft Defender для удостоверений |
| microsoftDefenderForCloudApps | Microsoft Defender for Cloud Apps. |
| microsoftDefenderForOffice365 | Microsoft Defender для Office365. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Защита идентификатора Microsoft Entra. |
| MicrosoftAppGovernance | Управление приложениями Майкрософт. |
| dataLossPrevention | Защита от потери данных Microsoft Purview. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
| microsoftDefenderForCloud | Microsoft Defender для облака. |
| microsoftSentinel | Microsoft Sentinel. |
значения detectionSource
| Значение | Описание |
|---|---|
| unknown | Неизвестный источник обнаружения. |
| microsoftDefenderForEndpoint | Microsoft Defender для конечной точки. |
| антивирусная программа | Антивирусная программа. |
| smartScreen | SmartScreen в Microsoft Defender. |
| customTi | Пользовательская аналитика угроз. |
| microsoftDefenderForOffice365 | Microsoft Defender для Office 365. |
| automatedInvestigation | Автоматическое исследование. |
| microsoftThreatExperts | Эксперты по угрозам Майкрософт. |
| customDetection | Пользовательское обнаружение. |
| microsoftDefenderForIdentity | Microsoft Defender для удостоверений |
| cloudAppSecurity | Безопасность облачных приложений. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Защита идентификатора Microsoft Entra. |
| Вручную | Обнаружение вручную. |
| microsoftDataLossPrevention | Защита от потери данных Microsoft Purview. |
| appGovernancePolicy | Политика управления приложениями. |
| appGovernanceDetection | Обнаружение системы управления приложениями. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
| microsoftDefenderForCloud | Microsoft Defender для облака. |
| microsoftDefenderForIoT | Microsoft Defender для Интернета вещей. |
| microsoftDefenderForServers | Microsoft Defender для серверов. |
| microsoftDefenderForStorage | Microsoft Defender для хранилища. |
| microsoftDefenderForDNS | Microsoft Defender для DNS. |
| microsoftDefenderForDatabases | Microsoft Defender для баз данных. |
| microsoftDefenderForContainers | Microsoft Defender для контейнеров. |
| microsoftDefenderForNetwork | Microsoft Defender для сети. |
| microsoftDefenderForAppService | Microsoft Defender для службы приложений. |
| microsoftDefenderForKeyVault | Microsoft Defender для Key Vault. |
| microsoftDefenderForResourceManager | Microsoft Defender для Resource Manager. |
| microsoftDefenderForApiManagement | Microsoft Defender для управления API. |
| microsoftSentinel | Microsoft Sentinel. |
| nrtAlerts | Оповещения NRT Sentinel. |
| scheduledAlerts | Запланированные оповещения Sentinel. |
| microsoftDefenderThreatIntelligenceAnalytics | Оповещения аналитики угроз Sentinel. |
| builtInMl | Sentinel Встроенное машинное обучение. |
Связи
Отсутствуют.
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}