Warnung Ressourcentyp
Namespace: microsoft.graph.security
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Diese Ressource entspricht der neuesten Generation von Warnungen in der Microsoft Graph-Sicherheits-API. Es stellt potenzielle Sicherheitsprobleme innerhalb des Mandanten eines Kunden dar. Diese Probleme werden entweder von Microsoft 365 Defender oder einem in Microsoft 365 Defender integrierten Sicherheitsanbieter identifiziert.
Sicherheitsanbieter erstellen eine Warnung im System, wenn sie eine Bedrohung erkennen. Microsoft 365 Defender ruft diese Warnungsdaten vom Sicherheitsanbieter ab und nutzt die Warnungsdaten, um wertvolle Hinweise in einer Warnungsressource zu verwandten Angriffen, betroffenen Ressourcen und zugehörigen Beweisen zurückzugeben. Es korreliert automatisch andere Warnungen mit den gleichen Angriffstechniken oder demselben Angreifer mit einem Incident , um einen breiteren Kontext eines Angriffs bereitzustellen. Das Zusammenfassen von Benachrichtigungen erleichtert es Analytikern, Bedrohungen kollektiv zu untersuchen und darauf zu reagieren.
Hinweis
Diese Ressource ist einer der beiden Arten von Warnungen, die die Betaversion der Microsoft Graph-Sicherheits-API bietet. Weitere Informationen finden Sie unter Warnungen.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| List | microsoft.graph.security.alert-Sammlung | Rufen Sie eine Liste der Warnungsressourcen ab, die verdächtige Aktivitäten in einem organization nachverfolgen. |
| Get | microsoft.graph.security.alert | Ruft die Eigenschaften eines Warnungsobjekts in einer organization basierend auf der angegebenen Warnungs-ID-Eigenschaft ab. |
| Update | microsoft.graph.security.alert | Aktualisieren Sie die Eigenschaften eines Warnungsobjekts in einem organization basierend auf der angegebenen Warnungs-ID-Eigenschaft. |
| Kommentar erstellen | AlertComment | Erstellen Sie einen Kommentar für eine vorhandene Warnung basierend auf der angegebenen Warnungs-ID-Eigenschaft . |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| actorDisplayName | Zeichenfolge | Der Angreifer oder die Aktivitätsgruppe, die dieser Warnung zugeordnet ist. |
| additionalData | microsoft.graph.security.dictionary | Eine Sammlung anderer Warnungseigenschaften, einschließlich benutzerdefinierter Eigenschaften. Alle in der Warnung definierten benutzerdefinierten Details und alle dynamischen Inhalte in den Warnungsdetails werden hier gespeichert. |
| alertPolicyId | Zeichenfolge | Die ID der Richtlinie, die die Warnung generiert hat, und wird aufgefüllt, wenn eine bestimmte Richtlinie vorhanden ist, die die Warnung generiert hat, unabhängig davon, ob sie von einem Kunden oder einer integrierten Richtlinie konfiguriert wurde. |
| alertWebUrl | Zeichenfolge | URL für die Warnungsseite des Microsoft 365 Defender-Portals. |
| assignedTo | Zeichenfolge | Besitzer der Warnung oder NULL, wenn kein Besitzer zugewiesen ist. |
| category | String | Die Angriffs-Kill-Chain-Kategorie, zu der die Warnung gehört. Ausgerichtet auf das MITRE ATT&CK-Framework. |
| classification | microsoft.graph.security.alertClassification | Gibt an, ob die Warnung eine echte Bedrohung darstellt. Mögliche Werte: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| Kommentare | microsoft.graph.security.alertComment-Sammlung | Array von Kommentaren, die vom Security Operations (SecOps)-Team während des Warnungsverwaltungsprozesses erstellt wurden. |
| createdDateTime | DateTimeOffset | Zeitpunkt, zu dem Microsoft 365 Defender die Warnung erstellt hat. |
| description | Zeichenfolge | Zeichenfolgenwert, der jede Warnung beschreibt. |
| detectionSource | microsoft.graph.security.detectionSource | Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat. Mögliche Werte sind: unknown, microsoftDefenderForEndpoint, antivirus, smartScreen, customTi, microsoftDefenderForOffice365, automatedInvestigation, microsoftThreatExpertsmicrosoftDefenderThreatIntelligenceAnalyticsscheduledAlertsnrtAlertsmicrosoftSentinelmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftDefenderForKeyVaultmicrosoftDefenderForNetworkmicrosoftDefenderForAppServicemicrosoftDefenderForContainersmicrosoftDefenderForDNSmicrosoftDefenderForDatabasesmicrosoftDefenderForStoragemicrosoftDefenderForServersmicrosoftDefenderForIoTmicrosoftDefenderForCloudunknownFutureValuecustomDetectionappGovernanceDetectionappGovernancePolicymicrosoftDefenderForIdentitymanualcloudAppSecuritymicrosoft365DefenderazureAdIdentityProtectionmicrosoftDataLossPrevention. builtInMl Verwenden Sie den Prefer: include-unknown-enum-members Anforderungsheader, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: microsoftDefenderForCloud, microsoftDefenderForIoT, , microsoftDefenderForServersmicrosoftDefenderForStorage, microsoftDefenderForDNS, microsoftDefenderForDatabasesmicrosoftDefenderForContainers, , microsoftDefenderForNetwork, microsoftDefenderForApiManagement. microsoftDefenderForAppServicebuiltInMlmicrosoftDefenderForKeyVaultmicrosoftDefenderForResourceManagermicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalytics |
| detectorId | Zeichenfolge | Die ID des Detektors, der die Warnung ausgelöst hat. |
| productName | Zeichenfolge | Der Name des Produkts, das diese Warnung veröffentlicht hat. |
| Entschlossenheit | microsoft.graph.security.alertDetermination | Gibt das Ergebnis der Untersuchung an, ob die Warnung einen echten Angriff darstellt, und wenn ja, die Art des Angriffs. Mögliche Werte sind: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue. |
| Beweis | microsoft.graph.security.alertEvidence-Sammlung | Sammlung von Beweisen im Zusammenhang mit der Warnung. |
| firstActivityDateTime | DateTimeOffset | Die früheste Aktivität, die der Warnung zugeordnet ist. |
| id | Zeichenfolge | Eindeutiger Bezeichner zur Darstellung der Warnungsressource . |
| incidentId | Zeichenfolge | Eindeutiger Bezeichner, der den Incident darstellt, dem diese Warnungsressource zugeordnet ist. |
| incidentWebUrl | Zeichenfolge | URL für die Incidentseite im Microsoft 365 Defender-Portal. |
| lastActivityDateTime | DateTimeOffset | Die älteste Aktivität, die der Warnung zugeordnet ist. |
| lastUpdateDateTime | DateTimeOffset | Zeitpunkt, zu dem die Warnung zuletzt bei Microsoft 365 Defender aktualisiert wurde. |
| mitreTechniques | Collection(Edm.String) | Die Angriffstechniken, die auf das MITRE ATT&CK-Framework abgestimmt sind. |
| providerAlertId | Zeichenfolge | Die ID der Warnung, wie sie im Sicherheitsanbieterprodukt angezeigt wird, das die Warnung generiert hat. |
| recommendedActions | Zeichenfolge | Empfohlene Reaktions- und Wartungsaktionen für den Fall, dass diese Warnung generiert wurde. |
| resolvedDateTime | DateTimeOffset | Zeitpunkt, zu dem die Warnung aufgelöst wurde. |
| serviceSource | microsoft.graph.security.serviceSource | Der Dienst oder das Produkt, das bzw. das diese Warnung erstellt hat. Mögliche Werte sind: unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud und microsoftSentinel. Verwenden Sie den Prefer: include-unknown-enum-members Anforderungsheader, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: microsoftDefenderForCloud, microsoftSentinel. |
| Schweregrad | microsoft.graph.security.alertSeverity | Gibt die möglichen Auswirkungen auf Ressourcen an. Je höher der Schweregrad, desto größer die Auswirkung. Elemente mit höherem Schweregrad erfordern in der Regel die unmittelbarste Aufmerksamkeit. Mögliche Werte sind: unknown, informational, low, medium, high und unknownFutureValue. |
| status | microsoft.graph.security.alertStatus | Die status der Warnung. Mögliche Werte: new, inProgress, resolved, unknownFutureValue |
| tenantId | Zeichenfolge | Der Microsoft Entra Mandant, in dem die Warnung erstellt wurde. |
| threatDisplayName | Zeichenfolge | Die dieser Warnung zugeordnete Bedrohung. |
| threatFamilyName | Zeichenfolge | Dieser Warnung zugeordnete Bedrohungsfamilie. |
| title | String | Kurze Identifizierung des Zeichenfolgenwerts, der die Warnung beschreibt. |
| systemTags | String collection | Die der Warnung zugeordneten Systemtags. |
alertClassification-Werte
| Member | Beschreibung |
|---|---|
| unknown | Die Warnung ist noch nicht klassifiziert. |
| falsePositive | Die Warnung ist falsch positiv und hat keine schädliche Aktivität erkannt. |
| truePositive | Die Warnung ist richtig positiv und erkennt schädliche Aktivitäten. |
| informationalExpectedActivity | Die Warnung ist gutartig positiv und hat potenziell schädliche Aktivitäten von einem vertrauenswürdigen/internen Benutzer erkannt, z. B. Sicherheitstests. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
alertDetermination-Werte
| Member | Beschreibung |
|---|---|
| unknown | Es wurde noch kein Ermittlungswert festgelegt. |
| passend | Eine wahr positive Warnung, die eine erweiterte persistente Bedrohung erkannt hat. |
| Schadsoftware | Eine wahr positive Warnung, die Schadsoftware erkennt. |
| securityPersonnel | Eine wahr positive Warnung, die gültige verdächtige Aktivitäten erkannt hat, die von einer Person im Sicherheitsteam des Kunden ausgeführt wurden. |
| SicherheitTesting | Die Warnung hat gültige verdächtige Aktivitäten erkannt, die im Rahmen eines bekannten Sicherheitstests ausgeführt wurden. |
| unwantedSoftware | Die Warnung hat unerwünschte Software erkannt. |
| andere | Sonstige Bestimmung. |
| multiStagedAttack | Eine wahr positive Warnung, die mehrere Kill-Chain-Angriffsphasen erkannt hat. |
| compromisedAccount | Eine wahr positive Warnung, die festgestellt hat, dass die Anmeldeinformationen des beabsichtigten Benutzers kompromittiert oder gestohlen wurden. |
| Phishing | Eine wahr positive Warnung, die eine Phishing-E-Mail erkannt hat. |
| maliciousUserActivity | Eine wahr positive Warnung, die erkennt, dass der angemeldete Benutzer schädliche Aktivitäten ausführt. |
| notMalicious | Eine falsche Warnung, keine verdächtige Aktivität. |
| notEnoughDataToValidate | Eine falsche Warnung, ohne dass genügend Informationen vorhanden sind, um das Gegenteil zu beweisen. |
| confirmedActivity | Die Warnung hat eine wahr verdächtige Aktivität abgefangen, die als OK angesehen wird, da es sich um eine bekannte Benutzeraktivität handelt. |
| lineOfBusinessApplication | Die Warnung hat eine wahr verdächtige Aktivität abgefangen, die als ok angesehen wird, da es sich um eine bekannte und bestätigte interne Anwendung handelt. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
alertSeverity-Werte
| Member | Beschreibung |
|---|---|
| unknown | Unbekannter Schweregrad. |
| mitteilsam | Warnungen, die möglicherweise nicht umsetzbar sind oder als schädlich für das Netzwerk gelten, aber das Sicherheitsbewusstsein der Organisation bei potenziellen Sicherheitsproblemen fördern können. |
| Niedrig | Warnungen zu Bedrohungen im Zusammenhang mit weit verbreiteter Schadsoftware. Beispielsweise Hacktools und Nicht-Antischadsoftware-Hacktools, z. B. das Ausführen von Explorationsbefehlen und das Löschen von Protokollen, die häufig nicht auf eine erweiterte Bedrohung hinweisen, die auf die organization abzielt. Es kann auch von einem isolierten Sicherheitstool stammen, das ein Benutzer in Ihrer organization testet. |
| medium | Warnungen, die aus Erkennungen und Reaktionen nach einem Sicherheitsverletzungsverhalten generiert werden, die Teil einer Advanced Persistent Threat (APT) sein können. Diese Warnungen umfassen beobachtete Verhaltensweisen, die typisch für Angriffsphasen sind, anomale Registrierungsänderungen, die Ausführung verdächtiger Dateien usw. Obwohl einige auf interne Sicherheitstests zurückzuführen sein können, sind sie gültige Erkennungen und erfordern eine Untersuchung, da sie Möglicherweise Teil eines erweiterten Angriffs sind. |
| Hoch | Warnungen, die häufig im Zusammenhang mit advanced persistent threats (APT) angezeigt werden. Diese Warnungen weisen auf ein hohes Risiko aufgrund der Schwere der Schäden hin, die sie an Vermögenswerten anrichten können. Einige Beispiele sind: Aktivitäten zum Diebstahl von Anmeldeinformationen, Ransomware-Aktivitäten, die keiner Gruppe zugeordnet sind, Manipulation von Sicherheitssensoren oder böswillige Aktivitäten, die auf einen menschlichen Angreifer hindeuten. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
alertStatus-Werte
| Member | Beschreibung |
|---|---|
| unknown | Unbekannte status. |
| Neu | Neue Warnung. |
| inProgress | Die Warnung wird in Der Entschärfung ausgeführt. |
| resolved | Die Warnung befindet sich im aufgelösten Zustand. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
serviceSource-Werte
| Wert | Beschreibung |
|---|---|
| unknown | Unbekannte Dienstquelle. |
| microsoftDefenderForEndpoint | Microsoft Defender für Endpunkt. |
| microsoftDefenderForIdentity | Microsoft Defender for Identity. |
| microsoftDefenderForCloudApps | Microsoft Defender for Cloud Apps. |
| microsoftDefenderForOffice365 | Microsoft Defender Für Office 365. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Microsoft Entra ID Protection. |
| microsoftAppGovernance | Microsoft-App-Governance. |
| dataLossPrevention | Microsoft Purview Data Loss Prevention. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
| microsoftDefenderForCloud | Microsoft Defender for Cloud. |
| microsoftSentinel | Microsoft Sentinel. |
detectionSource-Werte
| Wert | Beschreibung |
|---|---|
| unknown | Unbekannte Erkennungsquelle. |
| microsoftDefenderForEndpoint | Microsoft Defender für Endpunkt. |
| Antivirenprogramm | Antivirensoftware. |
| smartScreen | Microsoft Defender SmartScreen. |
| customTi | Benutzerdefinierte Threat Intelligence. |
| microsoftDefenderForOffice365 | Microsoft Defender for Office 365. |
| automatedInvestigation | Automatisierte Untersuchung. |
| microsoftThreatExperts | Microsoft-Bedrohungsexperten. |
| customDetection | Benutzerdefinierte Erkennung. |
| microsoftDefenderForIdentity | Microsoft Defender for Identity. |
| cloudAppSecurity | Cloud-App-Sicherheit. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Microsoft Entra ID Protection. |
| Manuell | Manuelle Erkennung. |
| microsoftDataLossPrevention | Microsoft Purview Data Loss Prevention. |
| appGovernancePolicy | App-Governance-Richtlinie. |
| appGovernanceDetection | App-Governance-Erkennung. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
| microsoftDefenderForCloud | Microsoft Defender for Cloud. |
| microsoftDefenderForIoT | Microsoft Defender für IoT. |
| microsoftDefenderForServers | Microsoft Defender für Server. |
| microsoftDefenderForStorage | Microsoft Defender für Storage. |
| microsoftDefenderForDNS | Microsoft Defender für DNS. |
| microsoftDefenderForDatabases | Microsoft Defender für Datenbanken. |
| microsoftDefenderForContainers | Microsoft Defender für Container. |
| microsoftDefenderForNetwork | Microsoft Defender für Netzwerk. |
| microsoftDefenderForAppService | Microsoft Defender für App Service. |
| microsoftDefenderForKeyVault | Microsoft Defender für Key Vault. |
| microsoftDefenderForResourceManager | Microsoft Defender für Resource Manager. |
| microsoftDefenderForApiManagement | Microsoft Defender für API Management. |
| microsoftSentinel | Microsoft Sentinel. |
| nrtAlerts | Sentinel NRT-Warnungen. |
| scheduledAlerts | Sentinel Geplante Warnungen. |
| microsoftDefenderThreatIntelligenceAnalytics | Sentinel Threat Intelligence-Warnungen. |
| builtInMl | Sentinel integriertes ML. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung veranschaulicht den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}