tipo de recurso alert (en desuso)
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta
de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Nota:
La API de alertas heredada está en desuso y se quitará en abril de 2026. Se recomienda migrar a la nueva API de alertas e incidentes .
Este recurso corresponde a la primera generación de alertas en la API de seguridad de Microsoft Graph, que representa posibles problemas de seguridad dentro del inquilino de un cliente que Microsoft o una solución de seguridad de asociado identifica.
Este tipo de alertas federa las llamadas de los proveedores de seguridad de Azure y Microsoft 365 Defender admitidos que aparecen en Uso de la API de seguridad de Microsoft Graph. Agrega datos de alerta comunes entre los distintos dominios para permitir que las aplicaciones unifiquen y optimicen la administración de problemas de seguridad en todas las soluciones integradas.
Para obtener más información, vea las consultas de ejemplo en el Probador de Graph.
Nota:
Este recurso es uno de los dos tipos de alertas que ofrece la versión beta de la API de seguridad de Microsoft Graph. Para obtener más información, consulte alertas.
Métodos
Método | Tipo de valor devuelto | Descripción |
---|---|---|
Obtener alerta | alert | Lee las propiedades y relaciones de un objeto alert. |
Actualizar alerta | alert | Actualiza un objeto alert. |
Enumerar alertas | Colección alert | Obtiene una colección de objetos alert. |
Actualizar varias alertas | Colección alert | Actualice varios objetos de alerta. |
Propiedades
Propiedad | Tipo | Descripción |
---|---|---|
activityGroupName | String | Nombre o alias del grupo de actividades (atacante) al cual se atribuye esta alerta. |
assignedTo | String | Nombre del analista al cual la alerta está asignada para evaluación, investigación o corrección (admite actualización). |
azureSubscriptionId | String | Identificador de suscripción de Azure, presente si esta alerta está relacionada con un recurso de Azure. |
azureTenantId | String | Microsoft Entra identificador de inquilino. Obligatorio. |
categoría | Cadena | Categoría de la alerta (por ejemplo, credentialTheft, ransomware). |
closedDateTime | DateTimeOffset | Hora en que se cerró la alerta. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche (UTC) del 1 de enero de 2014 es 2014-01-01T00:00:00Z (admite actualización). |
cloudAppStates | Colección cloudAppSecurityState | Información de estado relacionada con la seguridad generada por el proveedor acerca de las aplicaciones en la nube sobre esta alerta. |
comments | Colección String | Comentarios proporcionados por el cliente sobre la alerta (para la administración de alertas del cliente) (admite actualización). |
confidence | Int32 | Confidence de la lógica de detección (porcentaje entre 1 y 100). |
createdDateTime | DateTimeOffset | Hora en que el proveedor creó la alerta. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z . Obligatorio. |
description | String | Descripción de la alerta. |
detectionIds | Colección String | Conjunto de alertas relacionadas con esta entidad alert (cada alerta se envía al SIEM como registro independiente). |
eventDateTime | DateTimeOffset | Hora a la que se produjo el evento o los eventos que sirvieron como desencadenador para generar la alerta. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z . Obligatorio. |
feedback | alertFeedback | Comentarios del analista sobre la alerta. Los valores posibles son: unknown , truePositive , falsePositive y benignPositive . Admite la actualización. |
fileStates | Colección fileSecurityState | Información de estado relacionada con la seguridad generada por el proveedor acerca de los archivos en relación con esta alerta. |
historyStates | colección alertHistoryState | Colección de alertHistoryStates que incluye un registro de auditoría de todas las actualizaciones realizadas en una alerta. |
hostStates | Colección hostSecurityState | Información de estado relacionada con la seguridad generada por el proveedor acerca de los hosts en relación con esta alerta. |
id | String | GUID o identificador único generado por el proveedor. Solo lectura. Obligatorio. |
incidentIds | Colección de cadena | Id. de incidentes relacionados con la alerta actual. |
lastModifiedDateTime | DateTimeOffset | Hora en que se modificó por última vez la entidad alert. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z . |
malwareStates | Colección malwareState | Inteligencia de amenazas que pertenezcan a malware relacionado con esta alerta. |
networkConnections | Colección networkConnection | Información de estado relacionada con la seguridad generada por el proveedor acerca de las conexiones de red de esta alerta. |
procesos | Colección process | Información de estado relacionada con la seguridad generada por el proveedor acerca del proceso o procesos relacionados con esta alerta. |
recommendedActions | Colección String | Acciones para realizar recomendadas por el proveedor como resultado de la alerta (por ejemplo, aislar equipo, enforce2FA, volver a crear una imagen del host). |
registryKeyStates | Colección registryKeyState | Información de estado relacionada con la seguridad generada por el proveedor acerca de las claves del registro sobre esta alerta. |
securityResources | Colección securityResource | Recursos relacionados con la alerta actual. Por ejemplo, en algunas alertas, esto puede tener el valor del recurso de Azure. |
severity | alertSeverity | Gravedad de las alertas: establecida por el proveedor. Los valores posibles son: unknown , informational , low , medium y high . Obligatorio. |
sourceMaterials | Colección String | Hipervínculos (URI) al material de origen relacionado con la alerta, por ejemplo, la interfaz de usuario del proveedor para las alertas o la búsqueda de registros. |
status | alertStatus | Estado del ciclo de vida de la alerta (fase). Los valores posibles son: unknown , newAlert , inProgress y resolved . (admite actualización). Obligatorio. |
tags | Colección string | Etiquetas definibles por el usuario que se pueden aplicar a una alerta y pueden servir como condiciones de filtro (por ejemplo, "HVA", "SAW") (admite la actualización). |
title | String | Título de la alerta. Obligatorio. |
triggers | Colección alertTrigger | Información de seguridad sobre las propiedades específicas que desencadenaron la alerta (las propiedades que aparecen en la alerta). Las alertas pueden contener información sobre múltiples usuarios, hosts, archivos y direcciones IP. Este campo indica qué propiedades desencadenaron la generación de la alerta. |
userStates | Colección userSecurityState | Información de estado relacionada con la seguridad generada por el proveedor acerca de las cuentas de usuario relacionadas con esta alerta. |
vendorInformation | securityVendorInformation | Tipo complejo que contiene detalles sobre el proveedor del producto o servicio de seguridad y proveedor y subproveedor (por ejemplo, proveedor=Microsoft; proveedor=Windows Defender ATP; subproveedor=AppLocker). Obligatorio. |
vulnerabilityStates | Colección vulnerabilityState | Inteligencia de amenazas que pertenezcan a una o más vulnerabilidades relacionadas con esta alerta. |
Relaciones
Ninguna.
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"activityGroupName": "String",
"assignedTo": "String",
"azureSubscriptionId": "String",
"azureTenantId": "String",
"category": "String",
"closedDateTime": "String (timestamp)",
"cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
"comments": ["String"],
"confidence": 1024,
"createdDateTime": "String (timestamp)",
"description": "String",
"detectionIds": ["String"],
"eventDateTime": "String (timestamp)",
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
"historyStates": [{"@odata.type": "microsoft.graph.alertHistoryState"}],
"hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
"id": "String (identifier)",
"incidentIds": ["String"],
"lastModifiedDateTime": "String (timestamp)",
"malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
"networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
"processes": [{"@odata.type": "microsoft.graph.process"}],
"recommendedActions": ["String"],
"registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
"securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"sourceMaterials": ["String"],
"status": "@odata.type: microsoft.graph.alertStatus",
"tags": ["String"],
"title": "String",
"triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
"userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
"vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
"vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}