type de ressource alerte
Namespace : microsoft.graph.security
Cette ressource correspond au dernier lot d’alertes généré par l’API de sécurité Microsoft Graph. Cette ressource représente les problèmes de sécurité potentiels au sein du locataire d’un client identifié par Microsoft 365 Defender ou un fournisseur de sécurité intégré à Microsoft 365 Defender.
Lorsqu’un fournisseur de sécurité détecte une menace, il crée une alerte dans le système. Microsoft 365 Defender extrait ces données d’alerte du fournisseur de sécurité et consomme les données d’alerte pour retourner des indices précieux dans une ressource d’alerte sur toute attaque associée, les ressources impactées et les preuves associées. Il met automatiquement en corrélation d’autres alertes avec les mêmes techniques d’attaque ou le même attaquant dans un incident pour fournir un contexte plus large d’une attaque. Ce regroupement d’alertes permet plus facilement aux analystes d’étudier les menaces collectivement et d’y répondre.
Remarque
Cette ressource est l’un des deux types d’alertes qu’offre la version v1.0 de l’API de sécurité Microsoft Graph. Pour plus d’informations, consultez alertes.
Méthodes
Méthode | Type de retour | Description |
---|---|---|
List | collection microsoft.graph.security.alert | Obtenez la liste des ressources d’alerte créées pour suivre les activités suspectes dans une organisation. |
Obtenir | microsoft.graph.security.alert | Obtient les propriétés d’un objet d’alerte dans une organisation en fonction de la propriété ID d’alerte spécifiée. |
Mettre à jour | microsoft.graph.security.alert | Mettez à jour les propriétés d’un objet d’alerte dans une organisation en fonction de la propriété ID d’alerte spécifiée. |
Créer un commentaire | alertComment | Créez un commentaire pour une alerte existante en fonction de la propriété ID d’alerte spécifiée. |
Propriétés
Propriété | Type | Description |
---|---|---|
actorDisplayName | Chaîne | Adversaire ou groupe d’activités associé à cette alerte. |
additionalData | microsoft.graph.security.dictionary | Collection d’autres propriétés d’alerte, y compris les propriétés définies par l’utilisateur. Tous les détails personnalisés définis dans l’alerte et tout contenu dynamique dans les détails de l’alerte sont stockés ici. |
alertPolicyId | Chaîne | ID de la stratégie qui a généré l’alerte et renseigné lorsqu’une stratégie spécifique a généré l’alerte, qu’elle soit configurée par un client ou une stratégie intégrée. |
alertWebUrl | Chaîne | URL de la page d’alerte du portail Microsoft 365 Defender. |
assignedTo | Chaîne | Propriétaire de l’alerte, ou null si aucun propriétaire n’est affecté. |
category | String | Catégorie de kill-chain d’attaque à laquelle appartient l’alerte. Aligné avec l’infrastructure MITRE ATT&CK. |
classification | microsoft.graph.security.alertClassification | Spécifie si l’alerte représente une véritable menace. Les valeurs possibles sont les suivantes : unknown , falsePositive , truePositive , informationalExpectedActivity , unknownFutureValue . |
commentaires | collection microsoft.graph.security.alertComment | Tableau de commentaires créé par l’équipe Des opérations de sécurité (SecOps) pendant le processus de gestion des alertes. |
createdDateTime | DateTimeOffset | Heure à laquelle Microsoft 365 Defender a créé l’alerte. |
description | Chaîne | Valeur de chaîne décrivant chaque alerte. |
detectionSource | microsoft.graph.security.detectionSource | Technologie de détection ou capteur qui a identifié le composant ou l’activité notable. Les valeurs possibles sont , unknown microsoftDefenderForEndpoint , antivirus , smartScreen , customTi microsoftDefenderForOffice365 , microsoftDefenderForIdentity customDetection automatedInvestigation microsoftThreatExperts , appGovernanceDetection manual unknownFutureValue azureAdIdentityProtection microsoftDataLossPrevention appGovernancePolicy microsoft365Defender cloudAppSecurity , microsoftDefenderForIoT microsoftDefenderForCloud , . builtInMl microsoftDefenderForServers microsoftDefenderForStorage microsoftDefenderForDNS microsoftDefenderForDatabases microsoftDefenderForContainers microsoftDefenderForNetwork microsoftDefenderForAppService microsoftDefenderForKeyVault microsoftDefenderForResourceManager microsoftDefenderForApiManagement microsoftSentinel nrtAlerts scheduledAlerts microsoftDefenderThreatIntelligenceAnalytics Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : microsoftDefenderForCloud , microsoftDefenderForIoT , microsoftDefenderForServers , microsoftDefenderForDNS microsoftDefenderForNetwork microsoftDefenderForStorage microsoftDefenderForContainers microsoftDefenderForDatabases , microsoftDefenderForAppService , , . builtInMl microsoftDefenderForKeyVault microsoftDefenderForResourceManager microsoftDefenderForApiManagement microsoftSentinel nrtAlerts scheduledAlerts microsoftDefenderThreatIntelligenceAnalytics |
detectorId | Chaîne | ID du détecteur qui a déclenché l’alerte. |
détermination | microsoft.graph.security.alertDetermination | Spécifie le résultat de l’examen, si l’alerte représente une véritable attaque et, le cas échéant, la nature de l’attaque. Les valeurs possibles sont les suivantes : unknown , apt , malware , securityPersonnel , securityTesting , unwantedSoftware , other , multiStagedAttack , compromisedAccount , phishing , maliciousUserActivity , notMalicious , notEnoughDataToValidate , confirmedUserActivity , lineOfBusinessApplication et unknownFutureValue . |
preuve | collection microsoft.graph.security.alertEvidence | Collection de preuves liées à l’alerte. |
firstActivityDateTime | DateTimeOffset | Activité la plus ancienne associée à l’alerte. |
id | Chaîne | Identificateur unique pour représenter la ressource d’alerte . |
incidentId | Chaîne | Identificateur unique pour représenter l’incident à laquelle cette ressource d’alerte est associée. |
incidentWebUrl | Chaîne | URL de la page d’incident dans le portail Microsoft 365 Defender. |
lastActivityDateTime | DateTimeOffset | Activité la plus ancienne associée à l’alerte. |
lastUpdateDateTime | DateTimeOffset | Heure de la dernière mise à jour de l’alerte sur Microsoft 365 Defender. |
mitreTechniques | Collection(Edm.String) | Les techniques d’attaque, telles qu’alignées avec le framework MITRE ATT&CK. |
productName | Chaîne | Nom du produit qui a publié cette alerte. |
providerAlertId | Chaîne | ID de l’alerte tel qu’il apparaît dans le produit du fournisseur de sécurité qui a généré l’alerte. |
recommendedActions | Chaîne | Actions de réponse et de correction recommandées à prendre dans le cas où cette alerte a été générée. |
resolvedDateTime | DateTimeOffset | Heure à laquelle l’alerte a été résolue. |
serviceSource | microsoft.graph.security.serviceSource | Service ou produit qui a créé cette alerte. Les valeurs possibles sont les suivantes : unknown , microsoftDefenderForEndpoint , microsoftDefenderForIdentity , microsoftDefenderForCloudApps , microsoftDefenderForOffice365 , microsoft365Defender , azureAdIdentityProtection , microsoftAppGovernance , dataLossPrevention , unknownFutureValue , microsoftDefenderForCloud et microsoftSentinel . Vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : microsoftDefenderForCloud , microsoftSentinel . |
Sévérité | microsoft.graph.security.alertSeverity | Indique l’impact possible sur les ressources. Plus la gravité est élevée, plus l’impact est important. En règle générale, les éléments de gravité plus élevés nécessitent l’attention la plus immédiate. Les valeurs possibles sont unknown , informational , low , medium , high , unknownFutureValue . |
status | microsoft.graph.security.alertStatus | État de l’alerte. Les valeurs possibles sont les suivantes : new , inProgress , resolved , unknownFutureValue . |
tenantId | Chaîne | Locataire Microsoft Entra dans lequel l’alerte a été créée. |
threatDisplayName | Chaîne | Menace associée à cette alerte. |
threatFamilyName | Chaîne | Famille de menaces associée à cette alerte. |
title | Chaîne | Brève valeur de chaîne d’identification décrivant l’alerte. |
systemTags | String collection | Balises système associées à l’alerte. |
valeurs alertClassification
Member | Description |
---|---|
unknown | L’alerte n’est pas encore classifiée. |
falsePositive | L’alerte est un faux positif qui n’a pas détecté d’activité malveillante. |
truePositive | L’alerte est vraiment positive et a détecté une activité malveillante. |
informationalExpectedActivity | L’alerte est positive sans gravité et a détecté une activité potentiellement malveillante par un utilisateur de confiance/interne, par exemple, des tests de sécurité. |
unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
valeurs alertDetermination
Member | Description |
---|---|
unknown | Aucune valeur de détermination n’a encore été définie. |
apte | Une véritable alerte positive qui a détecté une menace persistante avancée. |
programme malveillant | Une véritable alerte positive qui a détecté des logiciels malveillants. |
securityPersonnel | Une véritable alerte positive qui a détecté une activité suspecte valide effectuée par une personne de l’équipe de sécurité du client. |
securityTesting | L’alerte a détecté une activité suspecte valide qui a été effectuée dans le cadre d’un test de sécurité connu. |
unwantedSoftware | L’alerte a détecté des logiciels indésirables. |
autre | Autre détermination. |
multiStagedAttack | Une véritable alerte positive qui a détecté plusieurs étapes d’attaque de chaîne de destruction. |
compromisedAccount | Une véritable alerte positive qui a détecté que les informations d’identification de l’utilisateur prévu ont été compromises ou volées. |
hameçonnage | Une véritable alerte positive qui a détecté un e-mail de hameçonnage. |
maliciousUserActivity | Une véritable alerte positive qui a détecté que l’utilisateur connecté effectue des activités malveillantes. |
notMalicious | Une fausse alerte, aucune activité suspecte. |
notEnoughDataToValidate | Une fausse alerte, sans suffisamment d’informations pour prouver le contraire. |
confirmActivity | L’alerte a détecté une activité suspecte réelle qui est considérée comme OK car il s’agit d’une activité utilisateur connue. |
lineOfBusinessApplication | L’alerte a détecté une activité suspecte qui est considérée comme OK car il s’agit d’une application interne connue et confirmée. |
unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
valeurs alertSeverity
Member | Description |
---|---|
unknown | Gravité inconnue. |
informationnel | Les alertes qui peuvent ne pas être actionnables ou considérées comme dangereuses pour le réseau, mais qui peuvent favoriser la sensibilisation de l’organisation à la sécurité sur les problèmes de sécurité potentiels. |
bas | Alertes sur les menaces associées à des programmes malveillants répandus. Par exemple, hack-tools, outils de piratage non-programme malveillant, tels que l’exécution de commandes d’exploration et l’effacement des journaux, qui n’indiquent souvent pas une menace avancée qui cible l’organisation. Il peut également provenir d’un outil de sécurité isolé qu’un utilisateur de votre organisation teste. |
medium | Alertes générées à partir de détections et de comportements de réponse post-violation qui peuvent faire partie d’une menace persistante avancée (APT). Ce niveau de gravité inclut les comportements observés typiques des phases d’attaque, les modifications anormales du Registre, l’exécution de fichiers suspects, etc. Bien que certaines puissent être dues à des tests de sécurité internes, il s’agit de détections valides et nécessitent une investigation, car elles peuvent faire partie d’une attaque avancée. |
haut | Alertes couramment observées associées aux menaces persistantes avancées (APT). Ces alertes indiquent un risque élevé en raison de la gravité des dommages qu’elles peuvent causer à des biens. Voici quelques exemples : les activités d’outils de vol d’informations d’identification, les activités de ransomware qui ne sont associées à aucun groupe, la falsification des capteurs de sécurité ou toute activité malveillante indiquant un adversaire humain. |
unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs alertStatus
Member | Description |
---|---|
unknown | État inconnu. |
Nouveau | Nouvelle alerte. |
inProgress | L’alerte est en cours d’atténuation. |
résolu | L’alerte est à l’état résolu. |
unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
valeurs serviceSource
Valeur | Description |
---|---|
unknown | Source de service inconnue. |
microsoftDefenderForEndpoint | Microsoft Defender pour point de terminaison. |
microsoftDefenderForIdentity | Microsoft Defender pour l’identité. |
microsoftDefenderForCloudApps | Microsoft Defender pour Cloud Apps. |
microsoftDefenderForOffice365 | Microsoft Defender pour Office365. |
microsoft365Defender | Microsoft 365 Defender. |
azureAdIdentityProtection | Microsoft Entra ID Protection. |
microsoftAppGovernance | Gouvernance des applications Microsoft. |
dataLossPrevention | Protection contre la perte de données Microsoft Purview. |
unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
microsoftDefenderForCloud | Microsoft Defender pour le cloud. |
microsoftSentinel | Microsoft Sentinel. |
valeurs detectionSource
Valeur | Description |
---|---|
unknown | Source de détection inconnue. |
microsoftDefenderForEndpoint | Microsoft Defender pour point de terminaison. |
antivirus | Logiciel antivirus. |
smartScreen | Microsoft Defender SmartScreen. |
customTi | Renseignement sur les menaces personnalisé. |
microsoftDefenderForOffice365 | Microsoft Defender pour Office 365. |
automatedInvestigation | Investigation automatisée. |
microsoftThreatExperts | Experts en menaces Microsoft. |
customDetection | Détection personnalisée. |
microsoftDefenderForIdentity | Microsoft Defender pour l’identité. |
cloudAppSecurity | Sécurité des applications cloud. |
microsoft365Defender | Microsoft 365 Defender. |
azureAdIdentityProtection | Microsoft Entra ID Protection. |
Manuelle | Détection manuelle. |
microsoftDataLossPrevention | Protection contre la perte de données Microsoft Purview. |
appGovernancePolicy | Stratégie de gouvernance des applications. |
appGovernanceDetection | Détection de la gouvernance des applications. |
unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
microsoftDefenderForCloud | Microsoft Defender pour le cloud. |
microsoftDefenderForIoT | Microsoft Defender pour IoT. |
microsoftDefenderForServers | Microsoft Defender pour serveurs. |
microsoftDefenderForStorage | Microsoft Defender pour le stockage. |
microsoftDefenderForDNS | Microsoft Defender pour DNS. |
microsoftDefenderForDatabases | Microsoft Defender pour les bases de données. |
microsoftDefenderForContainers | Microsoft Defender pour conteneurs. |
microsoftDefenderForNetwork | Microsoft Defender pour le réseau. |
microsoftDefenderForAppService | Microsoft Defender pour App Service. |
microsoftDefenderForKeyVault | Microsoft Defender pour Key Vault. |
microsoftDefenderForResourceManager | Microsoft Defender pour Resource Manager. |
microsoftDefenderForApiManagement | Microsoft Defender pour la gestion des API. |
microsoftSentinel | Microsoft Sentinel. |
nrtAlerts | Alertes NRT Sentinel. |
scheduledAlerts | Alertes planifiées Sentinel. |
microsoftDefenderThreatIntelligenceAnalytics | Alertes Sentinel Threat Intelligence. |
builtInMl | ML intégré à Sentinel. |
Relations
Aucun.
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}