Compartir a través de


tipo de recurso alert (en desuso)

Espacio de nombres: microsoft.graph

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Nota:

La API de alertas heredada está en desuso y se quitará en abril de 2026. Se recomienda migrar a la nueva API de alertas e incidentes .

Este recurso corresponde a la primera generación de alertas en la API de seguridad de Microsoft Graph, que representa posibles problemas de seguridad dentro del inquilino de un cliente que Microsoft o una solución de seguridad de asociado identifica.

Este tipo de alertas federa las llamadas de los proveedores de seguridad de Azure y Microsoft 365 Defender admitidos que aparecen en Uso de la API de seguridad de Microsoft Graph. Agrega datos de alerta comunes entre los distintos dominios para permitir que las aplicaciones unifiquen y optimicen la administración de problemas de seguridad en todas las soluciones integradas.

Para obtener más información, vea las consultas de ejemplo en el Probador de Graph.

Nota:

Este recurso es uno de los dos tipos de alertas que ofrece la versión beta de la API de seguridad de Microsoft Graph. Para obtener más información, consulte alertas.

Métodos

Método Tipo de valor devuelto Descripción
Obtener alerta alert Lee las propiedades y relaciones de un objeto alert.
Actualizar alerta alert Actualiza un objeto alert.
Enumerar alertas Colección alert Obtiene una colección de objetos alert.
Actualizar varias alertas Colección alert Actualice varios objetos de alerta.

Propiedades

Propiedad Tipo Descripción
activityGroupName String Nombre o alias del grupo de actividades (atacante) al cual se atribuye esta alerta.
assignedTo String Nombre del analista al cual la alerta está asignada para evaluación, investigación o corrección (admite actualización).
azureSubscriptionId String Identificador de suscripción de Azure, presente si esta alerta está relacionada con un recurso de Azure.
azureTenantId String Microsoft Entra identificador de inquilino. Obligatorio.
categoría Cadena Categoría de la alerta (por ejemplo, credentialTheft, ransomware).
closedDateTime DateTimeOffset Hora en que se cerró la alerta. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche (UTC) del 1 de enero de 2014 es 2014-01-01T00:00:00Z (admite actualización).
cloudAppStates Colección cloudAppSecurityState Información de estado relacionada con la seguridad generada por el proveedor acerca de las aplicaciones en la nube sobre esta alerta.
comments Colección String Comentarios proporcionados por el cliente sobre la alerta (para la administración de alertas del cliente) (admite actualización).
confidence Int32 Confidence de la lógica de detección (porcentaje entre 1 y 100).
createdDateTime DateTimeOffset Hora en que el proveedor creó la alerta. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. Obligatorio.
description String Descripción de la alerta.
detectionIds Colección String Conjunto de alertas relacionadas con esta entidad alert (cada alerta se envía al SIEM como registro independiente).
eventDateTime DateTimeOffset Hora a la que se produjo el evento o los eventos que sirvieron como desencadenador para generar la alerta. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. Obligatorio.
feedback alertFeedback Comentarios del analista sobre la alerta. Los valores posibles son: unknown, truePositive, falsePositive y benignPositive. Admite la actualización.
fileStates Colección fileSecurityState Información de estado relacionada con la seguridad generada por el proveedor acerca de los archivos en relación con esta alerta.
historyStates colección alertHistoryState Colección de alertHistoryStates que incluye un registro de auditoría de todas las actualizaciones realizadas en una alerta.
hostStates Colección hostSecurityState Información de estado relacionada con la seguridad generada por el proveedor acerca de los hosts en relación con esta alerta.
id String GUID o identificador único generado por el proveedor. Solo lectura. Obligatorio.
incidentIds Colección de cadena Id. de incidentes relacionados con la alerta actual.
lastModifiedDateTime DateTimeOffset Hora en que se modificó por última vez la entidad alert. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z.
malwareStates Colección malwareState Inteligencia de amenazas que pertenezcan a malware relacionado con esta alerta.
networkConnections Colección networkConnection Información de estado relacionada con la seguridad generada por el proveedor acerca de las conexiones de red de esta alerta.
procesos Colección process Información de estado relacionada con la seguridad generada por el proveedor acerca del proceso o procesos relacionados con esta alerta.
recommendedActions Colección String Acciones para realizar recomendadas por el proveedor como resultado de la alerta (por ejemplo, aislar equipo, enforce2FA, volver a crear una imagen del host).
registryKeyStates Colección registryKeyState Información de estado relacionada con la seguridad generada por el proveedor acerca de las claves del registro sobre esta alerta.
securityResources Colección securityResource Recursos relacionados con la alerta actual. Por ejemplo, en algunas alertas, esto puede tener el valor del recurso de Azure.
severity alertSeverity Gravedad de las alertas: establecida por el proveedor. Los valores posibles son: unknown, informational, low, medium y high. Obligatorio.
sourceMaterials Colección String Hipervínculos (URI) al material de origen relacionado con la alerta, por ejemplo, la interfaz de usuario del proveedor para las alertas o la búsqueda de registros.
status alertStatus Estado del ciclo de vida de la alerta (fase). Los valores posibles son: unknown, newAlert, inProgress y resolved. (admite actualización). Obligatorio.
tags Colección string Etiquetas definibles por el usuario que se pueden aplicar a una alerta y pueden servir como condiciones de filtro (por ejemplo, "HVA", "SAW") (admite la actualización).
title String Título de la alerta. Obligatorio.
triggers Colección alertTrigger Información de seguridad sobre las propiedades específicas que desencadenaron la alerta (las propiedades que aparecen en la alerta). Las alertas pueden contener información sobre múltiples usuarios, hosts, archivos y direcciones IP. Este campo indica qué propiedades desencadenaron la generación de la alerta.
userStates Colección userSecurityState Información de estado relacionada con la seguridad generada por el proveedor acerca de las cuentas de usuario relacionadas con esta alerta.
vendorInformation securityVendorInformation Tipo complejo que contiene detalles sobre el proveedor del producto o servicio de seguridad y proveedor y subproveedor (por ejemplo, proveedor=Microsoft; proveedor=Windows Defender ATP; subproveedor=AppLocker). Obligatorio.
vulnerabilityStates Colección vulnerabilityState Inteligencia de amenazas que pertenezcan a una o más vulnerabilidades relacionadas con esta alerta.

Relaciones

Ninguna.

Representación JSON

La siguiente representación JSON muestra el tipo de recurso.

{
  "activityGroupName": "String",
  "assignedTo": "String",
  "azureSubscriptionId": "String",
  "azureTenantId": "String",
  "category": "String",
  "closedDateTime": "String (timestamp)",
  "cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
  "comments": ["String"],
  "confidence": 1024,
  "createdDateTime": "String (timestamp)",
  "description": "String",
  "detectionIds": ["String"],
  "eventDateTime": "String (timestamp)",
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
  "historyStates": [{"@odata.type": "microsoft.graph.alertHistoryState"}],
  "hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
  "id": "String (identifier)",
  "incidentIds": ["String"],
  "lastModifiedDateTime": "String (timestamp)",
  "malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
  "networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
  "processes": [{"@odata.type": "microsoft.graph.process"}],
  "recommendedActions": ["String"],
  "registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
  "securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "sourceMaterials": ["String"],
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": ["String"],
  "title": "String",
  "triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
  "userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
  "vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
  "vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}