Type de ressource alertEvidence
Espace de noms : microsoft.graph.security
Représente une preuve liée à une alerte.
Le type de base alertEvidence et ses types de preuves dérivés fournissent un moyen d’organiser et de suivre des données enrichies sur chaque artefact impliqué dans une alerte. Par exemple, une alerte concernant l’adresse IP d’un attaquant se connectant à un service cloud à l’aide d’un compte d’utilisateur compromis peut suivre les preuves suivantes :
-
Preuve IP avec les rôles de
attacker
etsource
, correction status derunning
et verdict demalicious
. -
Preuve d’application cloud avec un rôle de
contextual
. -
Preuve de boîte aux lettres pour le compte d’utilisateur piraté avec un rôle de
compromised
.
Cette ressource est le type de base pour les types de preuves suivants :
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- iotDeviceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailClusterEvidence
- mailboxEvidence
- nicEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- urlEvidence
- userEvidence
Propriétés
Propriété | Type | Description |
---|---|---|
createdDateTime | DateTimeOffset | Date et heure auxquelles la preuve a été créée et ajoutée à l’alerte. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z . |
detailedRoles | String collection | Description détaillée du ou des rôles d’entité dans une alerte. Les valeurs sont de forme libre. |
remediationStatus | microsoft.graph.security.evidenceRemediationStatus | État de l’action de correction effectuée. Les valeurs possibles sont , none , remediated , prevented , blocked notFound , unknownFutureValue , active , pendingApproval , declined , unremediated , , running . partiallyRemediated Notez que vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir les valeurs suivantes de cette énumération évolutive : active , pendingApproval , declined , unremediated , running , partiallyRemediated . |
remediationStatusDetails | String | Détails sur la status de correction. |
rôles | collection microsoft.graph.security.evidenceRole | Le ou les rôles qu’une entité de preuve représente dans une alerte, par exemple, une adresse IP associée à un attaquant a le rôle de preuve Attaquant. |
étiquettes | String collection | Tableau d’étiquettes personnalisées associées à une preuve instance, par exemple, pour désigner un groupe d’appareils, des ressources de valeur élevée, etc. |
verdict | microsoft.graph.security.evidenceVerdict | Décision prise par une enquête automatisée. Les valeurs possibles sont : unknown , suspicious , malicious , noThreatsFound , unknownFutureValue . |
valeurs detectionSource
Valeur | Description |
---|---|
détecté | Un produit de la menace exécutée a été détecté. |
bloqué | La menace a été corrigée au moment de l’exécution. |
empêché | La menace n’a pas pu se produire (exécution, téléchargement, etc.). |
unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs evidenceRemediationStatus
Member | Description |
---|---|
none | Aucune menace n’a été trouvée. |
corrigé | L’action de correction s’est terminée avec succès. |
empêché | L’exécution de la menace a été empêchée. |
bloqué | La menace a été bloquée lors de l’exécution. |
notFound | La preuve n’a pas été trouvée. |
unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
actif | L’examen est en cours d’exécution/en attente et la correction n’est pas encore terminée. |
pendingApproval | L’action de correction est en attente d’approbation. |
décliné | L’action de correction a été refusée. |
non immédiatement | L’examen annule la correction et l’entité est récupérée. |
course | L’action de correction est en cours d’exécution. |
partiellement immédiatement | La menace a été partiellement remidiée. |
Valeurs evidenceRole
Member | Description |
---|---|
unknown | Le rôle de preuve est inconnu. |
contextuel | Entité qui est apparue sans doute sans gravité, mais qui a été signalée comme un effet secondaire de l’action d’un attaquant. Par exemple, le processus de services.exe sans gravité a été utilisé pour démarrer un service malveillant. |
Scanné | Entité identifiée comme cible d’actions d’analyse ou de reconnaissance de découverte. Par exemple, un scanneur de ports a été utilisé pour analyser un réseau. |
source | Entité d’origine de l’activité. Par exemple, un appareil, un utilisateur, une adresse IP, etc. |
destination | Entité à laquelle l’activité a été envoyée. Par exemple, un appareil, un utilisateur, une adresse IP, etc. |
créé | L’entité a été créée à la suite des actions d’un attaquant. Par exemple, un compte d’utilisateur a été créé. |
ajouté | L’entité a été ajoutée à la suite des actions d’un attaquant. Par exemple, un compte d’utilisateur a été ajouté à un groupe d’autorisations. |
Compromis | L’entité a été compromise et est sous le contrôle d’un attaquant. Par exemple, un compte d’utilisateur a été compromis et utilisé pour se connecter à un service cloud. |
modifié | L’entité a été modifiée ou modifiée par un attaquant. Par exemple, la clé de Registre d’un service a été modifiée pour pointer vers l’emplacement d’une nouvelle charge utile malveillante. |
Attaqué | L’entité a été attaquée. Par exemple, un appareil a été ciblé par une attaque DDoS. |
attaquant | L’entité représente l’attaquant. Par exemple, l’adresse IP de l’attaquant a observé la connexion à un service cloud à l’aide d’un compte d’utilisateur compromis. |
commandAndControl | L’entité est utilisée pour la commande et le contrôle. Par exemple, un domaine C2 (commande et contrôle) utilisé par un programme malveillant. |
chargé | L’entité a été chargée par un processus sous le contrôle d’un attaquant. Par exemple, une DLL a été chargée dans un processus contrôlé par un attaquant. |
suspect | L’entité est soupçonnée d’être malveillante ou contrôlée par un attaquant, mais elle n’a pas été incriminée. |
policyViolator | L’entité est un contrevenant d’une stratégie définie par le client. |
unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs evidenceVerdict
Member | Description |
---|---|
unknown | Aucun verdict n’a été rendu pour la preuve. |
suspect | Actions de correction recommandées en attente d’approbation. |
méchant | La preuve a été jugée malveillante. |
noThreatsFound | Aucune menace n’a été détectée - la preuve est sans gravité. |
unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Relations
Aucun.
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}