alertEvidence-Ressourcentyp

Namespace: microsoft.graph.security

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Stellt Beweise im Zusammenhang mit einer Warnung dar.

Der alertEvidence-Basistyp und seine abgeleiteten Beweistypen bieten eine Möglichkeit, umfangreiche Daten zu jedem Artefakt zu organisieren und nachzuverfolgen, das an einer Warnung beteiligt ist. Beispielsweise kann eine Warnung über die IP-Adresse eines Angreifers, die sich mit einem kompromittierten Benutzerkonto bei einem Clouddienst anmeldet, die folgenden Beweise nachverfolgen:

• IP-Nachweis mit den Rollen von attacker und source, Korrektur status von runningund Bewertung von malicious.
• Cloudanwendungsbeweis mit der contextualRolle .
• Postfachbeweis für das gehackte Benutzerkonto mit der compromisedRolle .

Diese Ressource ist der Basistyp für die folgenden Beweistypen:

• amazonResourceEvidence
• analyzedMessageEvidence
• azureResourceEvidence
• blobContainerEvidence
• blobEvidence
• cloudApplicationEvidence
• cloudLogonRequestEvidence
• cloudLogonSessionEvidence
• containerEvidence
• containerImageEvidence
• containerRegistryEvidence
• deviceEvidence
• fileEvidence
• googleCloudResourceEvidence
• iotDeviceEvidence
• ipEvidence
• kubernetesClusterEvidence
• kubernetesControllerEvidence
• kubernetesNamespaceEvidence
• kubernetesPodEvidence
• kubernetesSecretEvidence
• kubernetesServiceEvidence
• kubernetesServiceAccountEvidence
• mailClusterEvidence
• mailboxEvidence
• nicEvidence
• oauthApplicationEvidence
• processEvidence
• registryKeyEvidence
• registryValueEvidence
• securityGroupEvidence
• urlEvidence
• userEvidence

Eigenschaften

Eigenschaft	Typ	Beschreibung
createdDateTime	DateTimeOffset	Das Datum und die Uhrzeit, zu dem der Beweis erstellt und der Warnung hinzugefügt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z.
detailedRoles	String collection	Ausführliche Beschreibung der Entitätsrollen in einer Warnung. Werte sind Freiform.
remediationStatus	microsoft.graph.security.evidenceRemediationStatus	Status der durchgeführten Korrekturmaßnahme. Die möglichen Werte sind: none, remediated, prevented, blocked, notFound, , activeunknownFutureValue, pendingApproval, declined, unremediated, running, . partiallyRemediated Beachten Sie, dass Sie den Anforderungsheader Prefer: include-unknown-enum-members verwenden müssen, um die folgenden Werte aus dieser verteilbaren Enumeration abzurufen: active, pendingApproval, declined, unremediated, running, partiallyRemediated.
remediationStatusDetails	String	Details zur status.
roles	microsoft.graph.security.evidenceRole-Sammlung	Die Rollen, die eine Beweisentität in einer Warnung darstellt, z. B. eine IP-Adresse, die einem Angreifer zugeordnet ist, hat die Beweisrolle Angreifer.
tags	Zeichenfolgenauflistung	Array von benutzerdefinierten Tags, die einem Beweis zugeordnet instance, um z. B. eine Gruppe von Geräten, hochwertige Ressourcen usw. zu kennzeichnen.
Urteilsspruch	microsoft.graph.security.evidenceVerdict	Die Entscheidung, die durch automatisierte Untersuchung getroffen wurde. Mögliche Werte sind: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue.

detectionSource-Werte

Wert	Beschreibung
entdeckt	Ein Produkt der ausgeführten Bedrohung wurde erkannt.
gesperrt	Die Bedrohung wurde zur Laufzeit behoben.
verhinderte	Die Bedrohung wurde verhindert (Ausführen, Herunterladen usw.).
unknownFutureValue	Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

evidenceRemediationStatus-Werte

Member	Beschreibung
keine	Es wurden keine Bedrohungen gefunden.
Wiederhergestellt	Die Wartungsaktion wurde erfolgreich abgeschlossen.
verhinderte	Die Bedrohung wurde an der Ausführung gehindert.
gesperrt	Die Bedrohung wurde während der Ausführung blockiert.
notFound	Der Beweis wurde nicht gefunden.
unknownFutureValue	Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.
aktiv	Die Untersuchung wird ausgeführt/steht aus, und die Wartung ist noch nicht abgeschlossen.
pendingApproval	Die Korrekturaktion steht noch aus.
abgelehnt	Die Wiederherstellungsaktion wurde abgelehnt.
nicht vermittelt	Die Untersuchung macht die Wartung rückgängig, und die Entität wird wiederhergestellt.
Ausgeführte	Die Wartungsaktion wird ausgeführt.
partiallyRemediated	Die Bedrohung wurde teilweise remidiiert.

evidenceRole-Werte

Member	Beschreibung
unknown	Die Beweisrolle ist unbekannt.
kontextuell	Eine Entität, die wahrscheinlich gutartig aufgetreten ist, aber als Nebeneffekt der Aktion eines Angreifers gemeldet wurde, z. B. wurde der gutartige services.exe Prozess verwendet, um einen schädlichen Dienst zu starten.
gescannt	Eine Entität, die als Ziel von Ermittlungs- oder Reconnaissance-Aktionen identifiziert wurde, z. B. ein Portscanner, um ein Netzwerk zu scannen.
source	Die Entität, von der die Aktivität stammt, z. B. Gerät, Benutzer, IP-Adresse usw.
Bestimmungsort	Die Entität, an die die Aktivität gesendet wurde, z. B. Gerät, Benutzer, IP-Adresse usw.
erstellt	Die Entität wurde als Ergebnis der Aktionen eines Angreifers erstellt, z. B. wurde ein Benutzerkonto erstellt.
Hinzugefügt	Die Entität wurde als Ergebnis der Aktionen eines Angreifers hinzugefügt. Beispielsweise wurde einer Berechtigungsgruppe ein Benutzerkonto hinzugefügt.
kompromittiert	Die Entität wurde kompromittiert und befindet sich unter der Kontrolle eines Angreifers. Beispielsweise wurde ein Benutzerkonto kompromittiert und für die Anmeldung bei einem Clouddienst verwendet.
edited	Die Entität wurde von einem Angreifer bearbeitet oder geändert. Beispielsweise wurde der Registrierungsschlüssel für einen Dienst so bearbeitet, dass er auf den Speicherort einer neuen schädlichen Nutzlast verweist.
angegriffen	Die Entität wurde angegriffen. Beispielsweise wurde ein Gerät als Ziel für einen DDoS-Angriff verwendet.
Angreifer	Die Entität stellt den Angreifer dar. Beispielsweise hat die IP-Adresse des Angreifers die Anmeldung bei einem Clouddienst mit einem kompromittierten Benutzerkonto beobachtet.
commandAndControl	Die Entität wird für Befehle und Steuerungen verwendet. Beispielsweise eine C2-Domäne (Befehls- und Steuerungsdomäne), die von Schadsoftware verwendet wird.
geladen	Die Entität wurde von einem Prozess unter der Kontrolle eines Angreifers geladen. Beispielsweise wurde eine DLL in einen prozessgesteuerten Prozess geladen.
argwöhnisch	Die Entität wird verdächtigt, böswillig zu sein oder von einem Angreifer kontrolliert zu werden, wurde aber nicht inkriminiert.
policyViolator	Die Entität ist ein Verstoß gegen eine kundendefinierte Richtlinie.
unknownFutureValue	Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

evidenceVerdict-Werte

Member	Beschreibung
unknown	Für die Beweise wurde kein Urteil festgestellt.
argwöhnisch	Empfohlene Wartungsaktionen, die auf die Genehmigung warten.
böswillig	Die Beweise wurden als böswillig eingestuft.
noThreatsFound	Es wurde keine Bedrohung erkannt - die Beweise sind gutartig.
unknownFutureValue	Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

Beziehungen

Keine.

JSON-Darstellung

Die folgende JSON-Darstellung veranschaulicht den Ressourcentyp.

{
  "@odata.type": "#microsoft.graph.security.alertEvidence",
  "createdDateTime": "String (timestamp)",
  "verdict": "String",
  "remediationStatus": "String",
  "remediationStatusDetails": "String",
  "roles": [
    "String"
  ],
  "detailedRoles": [
    "String"
  ],
  "tags": [
    "String"
  ]
}