Warnungsressourcentyp (veraltet)
Namespace: microsoft.graph
Hinweis
Die Legacywarnungs-API ist veraltet und wird im April 2026 entfernt. Es wird empfohlen, zur neuen Warnungs- und Incident-API zu migrieren.
Diese Ressource entspricht der ersten Generation von Warnungen in der Microsoft Graph-Sicherheits-API, die potenzielle Sicherheitsprobleme innerhalb des Mandanten eines Kunden darstellt, die von Microsoft oder einer Partnersicherheitslösung identifiziert werden.
Bei dieser Art von Warnungen werden Aufrufe unterstützter Azure- und Microsoft 365 Defender-Sicherheitsanbieter im Verbund ausgeführt, die unter Verwenden der Microsoft Graph-Sicherheits-API aufgeführt sind. Es aggregiert allgemeine Warnungsdaten zwischen den verschiedenen Domänen, damit Anwendungen die Verwaltung von Sicherheitsproblemen in allen integrierten Lösungen vereinheitlichen und optimieren können.
Weitere Informationen finden Sie in den Beispielabfragen im Graph-Explorer.
Hinweis
Diese Ressource ist einer der beiden Arten von Warnungen, die die Version v1.0 der Microsoft Graph-Sicherheits-API bietet. Weitere Informationen finden Sie unter Warnungen.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Warnung erhalten | Warnung | Dient zum Lesen der Eigenschaften und der Beziehungen des Warnung-Objekts. |
| Warnung aktualisieren | Warnung | Aktualisieren eines Warnung-Objekts. |
| Warnungen auflisten | Warnung Sammlung | Ruft eine Warnungobjektsammlung ab. |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| activityGroupName | String | Name oder Alias der Aktivitätsgruppe (Angreifer), dem diese Warnung zugeordnet ist. |
| assignedTo | String | Name des Analysten, dem die Warnung für Triage, Untersuchung oder Wartung zugeordnet ist (unterstützt Update). |
| azureSubscriptionId | String | Azure-Abonnement-ID, vorhanden, wenn sich diese Warnung auf eine Azure-Ressource bezieht. |
| azureTenantId | String | Microsoft Entra Mandanten-ID. Erforderlich. |
| category | String | Kategorie der Warnung (z. B. credentialTheft, Ransomware). |
| closedDateTime | DateTimeOffset | Uhrzeit, an der die Warnung abgeschlossen wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel ist Mitternacht UTC am 1. Januar 2014 2014-01-01T00:00:00Z(unterstützt Update). |
| cloudAppStates | cloudAppSecurityState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Cloud-Anwendung(en) im Zusammenhang mit dieser Warnung generiert wurden. |
| Kommentare | Zeichenfolgensammlung | Vom Kunden zur Verfügung gestellte Kommentare zur Warnung (für Kunden Warnungsverwaltung) (unterstützt Update). |
| confidence | Int32 | Zuverlässigkeit der Erkennungslogik (Prozentsatz zwischen 1-100). |
| createdDateTime | DateTimeOffset | Uhrzeit, zu der die Warnung vom Warnungsanbieter erstellt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. Erforderlich. |
| description | String | Warnungsbeschreibung. |
| detectionIds | Zeichenfolgensammlung | Satz von Warnungen, die sich auf diese Warnungseinheit beziehen (jede Warnung wird als separater Datensatz an der SIEM gesendet). |
| eventDateTime | DateTimeOffset | Zeitpunkt, zu dem das Ereignis oder die Ereignisse aufgetreten sind, die als Trigger zum Generieren der Warnung dienten. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. Erforderlich. |
| Feedback | alertFeedback | Analysten-Feedback zur Warnung. Mögliche Werte: unknown, truePositive, falsePositive, benignPositive Unterstützt Update. |
| fileStates | FileSecurityState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Datei(en) im Zusammenhang mit dieser Warnung generiert wurden. |
| hostStates | HostSecurityState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über den/die Host(s) im Zusammenhang mit dieser Warnung generiert wurden. |
| id | String | Vom Provider generierter GUID/eindeutiger Bezeichner. Schreibgeschützt. Erforderlich. |
| incidentIds | Zeichenfolgenauflistung | IDs von Vorfällen, die mit der aktuellen Warnung in Zusammenhang stehen. |
| lastModifiedDateTime | DateTimeOffset | Uhrzeit, zu der die Warnung zuletzt geändert wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. |
| malwareStates | MalwareStateSammlung | Informationen zu Bedrohungen, in Bezug auf Malware im Zusammenhang mit dieser Warnung. |
| networkConnections | NetworkConnection Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Netzwerk-Verbindung(en) im Zusammenhang mit dieser Warnung generiert wurden. |
| Prozesse | Prozess Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über den Prozess oder die Prozesse im Zusammenhang mit dieser Warnung generiert wurden. |
| recommendedActions | Zeichenfolgensammlung | Vom Lieferanten/Anbieter empfohlene Maßnahmen, die aufgrund der Warnung zu ergreifen sind (z.B. Maschine isolieren, enforce2FA, Reimaging vom Host). |
| registryKeyStates | RegistryKeyState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Registrierungsschlüssel im Zusammenhang mit dieser Warnung generiert wurden. |
| securityResources | securityResource-Sammlung | Ressourcen, die mit der aktuellen Warnung in Zusammenhang stehen. Bei einigen Benachrichtigungen kann dies beispielsweise den Wert Azure-Ressource aufweisen. |
| Schweregrad | alertSeverity | Warnungsschweregrad – vom Lieferanten/Anbieter festgelegt. Mögliche Werte: unknown, informational, low, medium, high. Erforderlich. |
| sourceMaterials | Zeichenfolgensammlung | Links (URIs) zu dem Quellmaterial, das sich auf die Warnung bezieht, z. B. die Benutzeroberfläche des Anbieters für Warnungen oder die Protokollsuche. |
| Status | alertStatus | Lebenszyklusstatus der Warnung (Phase). Mögliche Werte: unknown, newAlert, inProgress, resolved (unterstütztUpdate). Erforderlich. |
| tags | Zeichenfolgenauflistung | Benutzerdefinierbare Bezeichnungen, die auf eine Warnung angewendet werden können und als Filterbedingungen dienen können (z. B. "HVA", "SAW") (unterstützt Update). |
| title | String | Warnungstitel. Erforderlich. |
| Auslöser | AlertTrigger Sammlung | Sicherheitsbezogene Informationen über die spezifischen Eigenschaften, die die Warnung ausgelöst haben (Eigenschaften, die in der Warnung angezeigt werden). Warnmeldungen können Informationen über mehrere Benutzer, Hosts, Dateien und IP-Adressen enthalten. Dieses Feld gibt an, welche Eigenschaften die Warnmeldung ausgelöst haben. |
| userStates | UserSecurityState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Benutzerkonten im Zusammenhang mit dieser Warnung generiert wurden. |
| vendorInformation | SecurityVendorInformation | Komplexer Typ, der Details über den Lieferanten des Sicherheitsproduktes/Dienstleistung, den Anbieter und den Subprovider enthält (z.B. Lieferant=Microsoft, Anbieter=Windows Defender ATP, Subprovider=AppLocker). Erforderlich. |
| vulnerabilityStates | VulnerabilityState Sammlung | Informationen zu Bedrohungen, die sich auf eine oder mehrere Schwachstellen im Zusammenhang mit dieser Warnung beziehen. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung zeigt den Ressourcentyp.
{
"activityGroupName": "String",
"assignedTo": "String",
"azureSubscriptionId": "String",
"azureTenantId": "String",
"category": "String",
"closedDateTime": "String (timestamp)",
"cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
"comments": ["String"],
"confidence": 1024,
"createdDateTime": "String (timestamp)",
"description": "String",
"detectionIds": ["String"],
"eventDateTime": "String (timestamp)",
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
"hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
"id": "String (identifier)",
"incidentIds": ["String"],
"lastModifiedDateTime": "String (timestamp)",
"malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
"networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
"processes": [{"@odata.type": "microsoft.graph.process"}],
"recommendedActions": ["String"],
"registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
"securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"sourceMaterials": ["String"],
"status": "@odata.type: microsoft.graph.alertStatus",
"tags": ["String"],
"title": "String",
"triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
"userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
"vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
"vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}