Partager via


Type de ressource alertEvidence

Espace de noms : microsoft.graph.security

Représente une preuve liée à une alerte.

Le type de base alertEvidence et ses types de preuves dérivés fournissent un moyen d’organiser et de suivre des données enrichies sur chaque artefact impliqué dans une alerte. Par exemple, une alerte concernant l’adresse IP d’un attaquant se connectant à un service cloud à l’aide d’un compte d’utilisateur compromis peut suivre les preuves suivantes :

Cette ressource est le type de base pour les types de preuves suivants :

Propriétés

Propriété Type Description
createdDateTime DateTimeOffset Date et heure auxquelles la preuve a été créée et ajoutée à l’alerte. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z.
detailedRoles String collection Description détaillée du ou des rôles d’entité dans une alerte. Les valeurs sont de forme libre.
remediationStatus microsoft.graph.security.evidenceRemediationStatus État de l’action de correction effectuée. Les valeurs possibles sont , none, remediated, prevented, blockednotFound, unknownFutureValue, active, pendingApproval, declined, unremediated, , running. partiallyRemediated Notez que vous devez utiliser l’en-tête Prefer: include-unknown-enum-members de requête pour obtenir les valeurs suivantes de cette énumération évolutive : active, pendingApproval, declined, unremediated, running, partiallyRemediated.
remediationStatusDetails String Détails sur la status de correction.
rôles collection microsoft.graph.security.evidenceRole Le ou les rôles qu’une entité de preuve représente dans une alerte, par exemple, une adresse IP associée à un attaquant a le rôle de preuve Attaquant.
étiquettes String collection Tableau d’étiquettes personnalisées associées à une preuve instance, par exemple, pour désigner un groupe d’appareils, des ressources de valeur élevée, etc.
verdict microsoft.graph.security.evidenceVerdict Décision prise par une enquête automatisée. Les valeurs possibles sont : unknown, suspicious, malicious, noThreatsFound, unknownFutureValue.

valeurs detectionSource

Valeur Description
détecté Un produit de la menace exécutée a été détecté.
bloqué La menace a été corrigée au moment de l’exécution.
empêché La menace n’a pas pu se produire (exécution, téléchargement, etc.).
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

Valeurs evidenceRemediationStatus

Member Description
none Aucune menace n’a été trouvée.
corrigé L’action de correction s’est terminée avec succès.
empêché L’exécution de la menace a été empêchée.
bloqué La menace a été bloquée lors de l’exécution.
notFound La preuve n’a pas été trouvée.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.
actif L’examen est en cours d’exécution/en attente et la correction n’est pas encore terminée.
pendingApproval L’action de correction est en attente d’approbation.
décliné L’action de correction a été refusée.
non immédiatement L’examen annule la correction et l’entité est récupérée.
course L’action de correction est en cours d’exécution.
partiellement immédiatement La menace a été partiellement remidiée.

Valeurs evidenceRole

Member Description
unknown Le rôle de preuve est inconnu.
contextuel Entité qui est apparue sans doute sans gravité, mais qui a été signalée comme un effet secondaire de l’action d’un attaquant. Par exemple, le processus de services.exe sans gravité a été utilisé pour démarrer un service malveillant.
Scanné Entité identifiée comme cible d’actions d’analyse ou de reconnaissance de découverte. Par exemple, un scanneur de ports a été utilisé pour analyser un réseau.
source Entité d’origine de l’activité. Par exemple, un appareil, un utilisateur, une adresse IP, etc.
destination Entité à laquelle l’activité a été envoyée. Par exemple, un appareil, un utilisateur, une adresse IP, etc.
créé L’entité a été créée à la suite des actions d’un attaquant. Par exemple, un compte d’utilisateur a été créé.
ajouté L’entité a été ajoutée à la suite des actions d’un attaquant. Par exemple, un compte d’utilisateur a été ajouté à un groupe d’autorisations.
Compromis L’entité a été compromise et est sous le contrôle d’un attaquant. Par exemple, un compte d’utilisateur a été compromis et utilisé pour se connecter à un service cloud.
modifié L’entité a été modifiée ou modifiée par un attaquant. Par exemple, la clé de Registre d’un service a été modifiée pour pointer vers l’emplacement d’une nouvelle charge utile malveillante.
Attaqué L’entité a été attaquée. Par exemple, un appareil a été ciblé par une attaque DDoS.
attaquant L’entité représente l’attaquant. Par exemple, l’adresse IP de l’attaquant a observé la connexion à un service cloud à l’aide d’un compte d’utilisateur compromis.
commandAndControl L’entité est utilisée pour la commande et le contrôle. Par exemple, un domaine C2 (commande et contrôle) utilisé par un programme malveillant.
chargé L’entité a été chargée par un processus sous le contrôle d’un attaquant. Par exemple, une DLL a été chargée dans un processus contrôlé par un attaquant.
suspect L’entité est soupçonnée d’être malveillante ou contrôlée par un attaquant, mais elle n’a pas été incriminée.
policyViolator L’entité est un contrevenant d’une stratégie définie par le client.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

Valeurs evidenceVerdict

Member Description
unknown Aucun verdict n’a été rendu pour la preuve.
suspect Actions de correction recommandées en attente d’approbation.
méchant La preuve a été jugée malveillante.
noThreatsFound Aucune menace n’a été détectée - la preuve est sans gravité.
unknownFutureValue Valeur sentinel de l’énumération évolutive. Ne pas utiliser.

Relations

Aucun.

Représentation JSON

La représentation JSON suivante montre le type de ressource.

{
  "@odata.type": "#microsoft.graph.security.alertEvidence",
  "createdDateTime": "String (timestamp)",
  "verdict": "String",
  "remediationStatus": "String",
  "remediationStatusDetails": "String",
  "roles": [
    "String"
  ],
  "detailedRoles": [
    "String"
  ],
  "tags": [
    "String"
  ]
}