Incidentressourcentyp
Namespace: microsoft.graph.security
Ein Incident in Microsoft 365 Defender ist eine Sammlung korrelierter Warnungsinstanzen und zugehöriger Metadaten, die die Geschichte eines Angriffs auf einen Mandanten widerspiegeln.
Microsoft 365-Dienste und -Anwendungen erstellen Warnungen, wenn sie ein verdächtiges oder bösartiges Ereignis oder eine Aktivität erkennen. Einzelne Warnungen bieten wertvolle Hinweise zu einem abgeschlossenen oder laufenden Angriff. Angriffe wenden jedoch in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten an, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind mehrere Warnungen für mehrere Entitäten in Ihrem Mandanten. Da es schwierig und zeitaufwändig sein kann, die einzelnen Warnungen zusammenzufassen, um Erkenntnisse zu einem Angriff zu erhalten, fasst Microsoft 365 Defender die Warnungen und die damit verbundenen Informationen automatisch zu einem Vorfall zusammen.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Auflisten von Vorfällen | microsoft.graph.security.incident collection | Rufen Sie eine Liste der Incidentobjekte ab, die Microsoft 365 Defender erstellt hat, um Angriffe in einer Organisation nachzuverfolgen. |
| Incident abrufen | microsoft.graph.security.incident | Lesen der Eigenschaften und Beziehungen eines Incidentobjekts . |
| Aktualisieren von Vorfällen | microsoft.graph.security.incident | Aktualisiert die Eigenschaften eines Incidentobjekts . |
| Erstellen eines Kommentars für incident | AlertComment | Erstellen Sie einen Kommentar für einen vorhandenen Incident basierend auf der angegebenen Incident-ID-Eigenschaft . |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| assignedTo | Zeichenfolge | Besitzer des Incidents oder NULL, wenn kein Besitzer zugewiesen ist. Freier bearbeitbarer Text. |
| classification | microsoft.graph.security.alertClassification | Die Spezifikation für den Incident. Mögliche Werte: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| Kommentare | microsoft.graph.security.alertComment-Sammlung | Array von Kommentaren, die vom Security Operations -Team (SecOps) erstellt werden, wenn der Incident verwaltet wird. |
| createdDateTime | DateTimeOffset | Zeitpunkt, zu dem der Vorfall zum ersten Mal erstellt wurde. |
| customTags | Zeichenfolgenauflistung | Array von benutzerdefinierten Tags, die einem Incident zugeordnet sind. |
| description | Zeichenfolge | Beschreibung des Vorfalls. |
| Entschlossenheit | microsoft.graph.security.alertDetermination | Gibt die Ermittlung des Incidents an. Mögliche Werte sind: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue. |
| displayName | Zeichenfolge | Der Incidentname. |
| id | Zeichenfolge | Eindeutiger Bezeichner zur Darstellung des Incidents. |
| incidentWebUrl | Zeichenfolge | Die URL für die Incidentseite im Microsoft 365 Defender-Portal. |
| lastModifiedBy | Zeichenfolge | Die Identität, die den Incident zuletzt geändert hat. |
| lastUpdateDateTime | DateTimeOffset | Zeitpunkt, zu dem der Vorfall zuletzt aktualisiert wurde. |
| redirectIncidentId | Zeichenfolge | Wird nur für den Fall aufgefüllt, dass ein Incident mit einem anderen Incident gruppiert wird, als Teil der Logik, die Incidents verarbeitet. In einem solchen Fall ist redirecteddie Statuseigenschaft . |
| ResolvingComment | Zeichenfolge | Benutzereingabe, die die Lösung des Incidents und die Klassifizierungsauswahl erläutert. Diese Eigenschaft enthält frei bearbeitbaren Text. |
| Schweregrad | alertSeverity | Gibt die möglichen Auswirkungen auf Ressourcen an. Je höher der Schweregrad, desto größer ist die Auswirkung. Elemente mit höherem Schweregrad erfordern in der Regel die unmittelbarste Aufmerksamkeit. Mögliche Werte sind: unknown, informational, low, medium, high und unknownFutureValue. |
| status | microsoft.graph.security.incidentStatus | Der Status des Incidents. Mögliche Werte sind: active, resolved, inProgress, redirected, unknownFutureValueund awaitingAction. |
| Zusammenfassung | Zeichenfolge | Die Übersicht über einen Angriff. Falls zutreffend, enthält die Zusammenfassung Details dazu, was aufgetreten ist, die betroffenen Ressourcen und die Art des Angriffs. |
| systemTags | String-Sammlung | Die Systemtags, die dem Incident zugeordnet sind. |
| tenantId | Zeichenfolge | Der Microsoft Entra-Mandant, in dem die Warnung erstellt wurde. |
incidentStatus-Werte
In der folgenden Tabelle sind die Elemente einer drehbaren Enumeration aufgeführt. Sie müssen den Anforderungsheader Prefer: include-unknown-enum-members verwenden, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: awaitingAction.
| Member | Beschreibung |
|---|---|
| aktiv | Der Incident befindet sich im aktiven Zustand. |
| resolved | Der Vorfall befindet sich im aufgelösten Zustand. |
| inProgress | Der Vorfall wird gerade entschärft. |
| umadressiert | Der Vorfall wurde mit einem anderen Vorfall zusammengeführt. Die Zielvorfall-ID wird in der redirectIncidentId-Eigenschaft angezeigt. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
| awaitingAction | Dieser Vorfall erfordert Aktionen von Defender-Experten, die auf Ihre Aktion warten. Nur Microsoft 365 Defender-Experten können diesen Status festlegen. |
Beziehungen
| Beziehung | Typ | Beschreibung |
|---|---|---|
| Warnungen | microsoft.graph.security.alert-Sammlung | Die Liste der zugehörigen Warnungen. Unterstützt $expand. |
JSON-Darstellung
Die folgende JSON-Darstellung zeigt den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String"
}