tipo de recurso alertEvidence
Espacio de nombres: microsoft.graph.security
Representa pruebas relacionadas con una alerta.
El tipo base alertEvidence y sus tipos de evidencia derivados proporcionan un medio para organizar y realizar un seguimiento de los datos enriquecidos sobre cada artefacto implicado en una alerta. Por ejemplo, una alerta sobre la dirección IP de un atacante que inicia sesión en un servicio en la nube mediante una cuenta de usuario en peligro puede realizar el seguimiento de las siguientes pruebas:
-
Evidencia de IP con los roles de
attackerysource, estado de corrección derunningy veredicto demalicious. -
Evidencia de aplicación en la nube con un rol de
contextual. -
Evidencia de buzón de correo de la cuenta de usuario pirateada con un rol de
compromised.
Este recurso es el tipo base para los siguientes tipos de evidencia:
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- iotDeviceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailClusterEvidence
- mailboxEvidence
- nicEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- urlEvidence
- userEvidence
Propiedades
| Propiedad | Tipo | Descripción |
|---|---|---|
| createdDateTime | DateTimeOffset | Fecha y hora en que se crearon las pruebas y se agregaron a la alerta. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. |
| detailedRoles | Colección string | Descripción detallada de los roles de entidad en una alerta. Los valores son de forma libre. |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | Estado de la acción de corrección realizada. Los valores posibles son: none, remediated, , prevented, notFoundblocked, unknownFutureValue, , active, pendingApproval, declined, unremediated, , running. partiallyRemediated Tenga en cuenta que debe usar el Prefer: include-unknown-enum-members encabezado de solicitud para obtener los siguientes valores de esta enumeración evolvable: active, pendingApproval, declined, unremediated, running, partiallyRemediated. |
| remediationStatusDetails | Cadena | Detalles sobre el estado de corrección. |
| roles | Colección microsoft.graph.security.evidenceRole | Los roles que una entidad de evidencia representa en una alerta, por ejemplo, una dirección IP asociada a un atacante tiene el rol de evidencia Atacante. |
| tags | Colección string | Matriz de etiquetas personalizadas asociadas a una instancia de evidencia, por ejemplo, para indicar un grupo de dispositivos, recursos de alto valor, etc. |
| veredicto | microsoft.graph.security.evidenceVerdict | La decisión alcanzada por la investigación automatizada. Los valores posibles son: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue. |
detectionSource values
| Valor | Descripción |
|---|---|
| Detectado | Se detectó un producto de la amenaza que se ejecutó. |
| bloqueado | La amenaza se corrigió en tiempo de ejecución. |
| Prevenido | Se impidió que se produjera la amenaza (ejecución, descarga, etc.). |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
valores evidenceRemediationStatus
| Member | Descripción |
|---|---|
| ninguno | No se encontraron amenazas. |
| Remediadas | La acción de corrección se ha completado correctamente. |
| Prevenido | No se pudo ejecutar la amenaza. |
| bloqueado | La amenaza se bloqueó durante la ejecución. |
| notFound | No se encontraron las pruebas. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
| activo | La investigación está en ejecución o pendiente y la corrección aún no se ha completado. |
| pendingApproval | La acción de corrección está pendiente de aprobación. |
| Disminuido | Se ha rechazado la acción de corrección. |
| sin mediar | La investigación deshace la corrección y se recupera la entidad. |
| corriente | Se está ejecutando la acción de corrección. |
| parcialmenteremediado | La amenaza se reidializó parcialmente. |
evidenceRole valores
| Member | Descripción |
|---|---|
| desconocido | Se desconoce el rol de evidencia. |
| contextual | Una entidad que surgió probablemente benigna pero que se notificó como un efecto secundario de la acción de un atacante. Por ejemplo, el proceso de services.exe benigno se usó para iniciar un servicio malintencionado. |
| Escaneado | Entidad identificada como destino de las acciones de detección o reconocimiento. Por ejemplo, se usó un escáner de puertos para examinar una red. |
| source | Entidad de la que se originó la actividad. Por ejemplo, un dispositivo, un usuario, una dirección IP, etc. |
| destino | Entidad a la que se envió la actividad. Por ejemplo, un dispositivo, un usuario, una dirección IP, etc. |
| creado | La entidad se creó como resultado de las acciones de un atacante. Por ejemplo, se creó una cuenta de usuario. |
| agregado | La entidad se agregó como resultado de las acciones de un atacante. Por ejemplo, se agregó una cuenta de usuario a un grupo de permisos. |
| Comprometido | La entidad estaba en peligro y está bajo el control de un atacante. Por ejemplo, una cuenta de usuario se ha puesto en peligro y se ha usado para iniciar sesión en un servicio en la nube. |
| edited | Un atacante editó o cambió la entidad. Por ejemplo, la clave del Registro de un servicio se editó para que apunte a la ubicación de una nueva carga malintencionada. |
| Atacado | Se atacó la entidad. Por ejemplo, un dispositivo estaba destinado a un ataque DDoS. |
| asaltante | La entidad representa al atacante. Por ejemplo, la dirección IP del atacante observó el inicio de sesión en un servicio en la nube mediante una cuenta de usuario en peligro. |
| commandAndControl | La entidad se usa para el comando y el control. Por ejemplo, un dominio C2 (comando y control) usado por el malware. |
| cargado | Un proceso bajo el control de un atacante cargó la entidad. Por ejemplo, se cargó un archivo DLL en un proceso controlado por el atacante. |
| sospechoso | Se sospecha que la entidad es malintencionada o controlada por un atacante, pero no ha sido incriminada. |
| policyViolator | La entidad es un violador de una directiva definida por el cliente. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
evidenceVerdict valores
| Member | Descripción |
|---|---|
| desconocido | No se determinó ningún veredicto para las pruebas. |
| sospechoso | Acciones de corrección recomendadas en espera de aprobación. |
| malicioso | Se determinó que la evidencia era malintencionada. |
| noThreatsFound | No se detectó ninguna amenaza: la evidencia es benigna. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
Relaciones
Ninguna.
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}