alert リソースの種類
Namespace: microsoft.graph.security
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
このリソースは、Microsoft Graph セキュリティ API の最新世代のアラートに対応します。 これは、顧客のテナント内の潜在的なセキュリティの問題を表します。 これらの問題は、Microsoft 365 Defender または Microsoft 365 Defender と統合されたセキュリティ プロバイダーによって識別されます。
セキュリティ プロバイダーは、脅威を検出したときにシステムにアラートを作成します。 Microsoft 365 Defender は、セキュリティ プロバイダーからこのアラート データをプルし、アラート データを使用して、関連する攻撃、影響を受ける資産、および関連する証拠に関するアラート リソースに貴重な手掛かりを返します。 同じ攻撃手法または同じ攻撃者を持つ他のアラートを インシデント に自動的に関連付けて、攻撃のより広範なコンテキストを提供します。 この方法でアラートを集約すると、アナリストは脅威への総合的な調査や対応が簡単にできるようになります。
注:
このリソースは、Microsoft Graph セキュリティ API のベータ版が提供する 2 種類のアラートの 1 つです。 詳細については、「 アラート」を参照してください。
メソッド
| メソッド | 戻り値の種類 | 説明 |
|---|---|---|
| List | microsoft.graph.security.alert コレクション | 組織内の不審なアクティビティを追跡する アラート リソースの一覧を取得します。 |
| Get | microsoft.graph.security.alert | 指定した アラート ID プロパティに基づいて、組織内のアラート オブジェクトのプロパティ を 取得します。 |
| Update | microsoft.graph.security.alert | 指定した アラート ID プロパティに基づいて、組織内のアラート オブジェクトのプロパティ を 更新します。 |
| コメントを作成する | alertComment | 指定したアラート ID プロパティに基づいて、既存の アラート のコメント を 作成します。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| actorDisplayName | String | このアラートに関連付けられている敵対者またはアクティビティ グループ。 |
| additionalData | microsoft.graph.security.dictionary | ユーザー定義プロパティなど、他のアラート プロパティのコレクション。 アラートで定義されているカスタムの詳細と、アラートの詳細に含まれる動的コンテンツはここに格納されます。 |
| alertPolicyId | String | アラートを生成し、アラートを生成した特定のポリシーがある場合に設定されるポリシーの ID。顧客によって構成されているか、組み込みのポリシーによって構成されているか。 |
| alertWebUrl | String | Microsoft 365 Defender ポータルのアラート ページの URL。 |
| assignedTo | String | アラートの所有者。所有者が割り当てられていない場合は null。 |
| category | String | アラートが属する攻撃キル チェーン カテゴリ。 MITRE ATT&CK フレームワークに合わせて調整されています。 |
| classification | microsoft.graph.security.alertClassification | アラートが真の脅威を表すかどうかを指定します。 可能な値は、unknown、falsePositive、truePositive、informationalExpectedActivity、unknownFutureValue です。 |
| comments | microsoft.graph.security.alertComment コレクション | アラート管理プロセス中にセキュリティ運用 (SecOps) チームによって作成されたコメントの配列。 |
| createdDateTime | DateTimeOffset | Microsoft 365 Defender がアラートを作成した時刻。 |
| 説明 | String | 各アラートを記述する文字列値。 |
| detectionSource | microsoft.graph.security.detectionSource | 注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー。 使用できる値は、 unknown、 microsoftDefenderForEndpoint、 antivirus、 smartScreen、 customTi、 microsoftDefenderForOffice365、 automatedInvestigation、 microsoftThreatExperts、 customDetection、 microsoftDefenderForIdentity、 cloudAppSecurity、 microsoft365Defender、 azureAdIdentityProtection、 manual、 microsoftDataLossPrevention、 appGovernancePolicy、 appGovernanceDetection、 unknownFutureValue、 microsoftDefenderForCloud、 microsoftDefenderForIoT、 microsoftDefenderForServers、 microsoftDefenderForStorage、 microsoftDefenderForDNS、 microsoftDefenderForDatabases、 microsoftDefenderForContainers、 microsoftDefenderForNetwork、 microsoftDefenderForAppService、 microsoftDefenderForKeyVault、 microsoftDefenderForResourceManager、 microsoftDefenderForApiManagement、 microsoftSentinel、 nrtAlerts、 scheduledAlerts、 microsoftDefenderThreatIntelligenceAnalytics、 builtInMl。
Prefer: include-unknown-enum-members要求ヘッダーを使用して、この進化可能な列挙型で次の値を取得する必要があります: microsoftDefenderForCloud、 microsoftDefenderForIoT、microsoftDefenderForServers、microsoftDefenderForStorage、microsoftDefenderForDNS、microsoftDefenderForDatabases、microsoftDefenderForContainers、microsoftDefenderForNetwork、microsoftDefenderForAppService、microsoftDefenderForKeyVault、microsoftDefenderForResourceManager、microsoftDefenderForApiManagement、microsoftSentinel、nrtAlerts、scheduledAlerts、microsoftDefenderThreatIntelligenceAnalytics、builtInMl。 |
| detectorId | String | アラートをトリガーした検出機能の ID。 |
| productName | String | このアラートを発行した製品の名前。 |
| 決定 | microsoft.graph.security.alertDetermination | 調査の結果、アラートが真の攻撃を表すかどうか、その場合は攻撃の性質を指定します。 可能な値は、unknown、apt、malware、securityPersonnel、securityTesting、unwantedSoftware、other、multiStagedAttack、compromisedAccount、phishing、maliciousUserActivity、notMalicious、notEnoughDataToValidate、confirmedUserActivity、lineOfBusinessApplication、unknownFutureValue です。 |
| 証拠 | microsoft.graph.security.alertEvidence コレクション | アラートに関連する証拠の収集。 |
| firstActivityDateTime | DateTimeOffset | アラートに関連付けられている最も古いアクティビティ。 |
| id | String | アラート リソースを表す一意の識別子。 |
| incidentId | String | このアラート リソースが関連付けられているインシデントを表す一意の識別子。 |
| incidentWebUrl | String | Microsoft 365 Defender ポータルのインシデント ページの URL。 |
| lastActivityDateTime | DateTimeOffset | アラートに関連付けられている最も古いアクティビティ。 |
| lastUpdateDateTime | DateTimeOffset | Microsoft 365 Defender でアラートが最後に更新された時刻。 |
| mitreTechniques | Collection(Edm.String) | 攻撃手法は、MITRE ATT&CK フレームワークに合わせて調整されます。 |
| providerAlertId | String | アラートを生成したセキュリティ プロバイダー製品に表示されるアラートの ID。 |
| recommendedActions | String | このアラートが生成された場合に実行する推奨応答と修復アクション。 |
| resolvedDateTime | DateTimeOffset | アラートが解決された時刻。 |
| serviceSource | microsoft.graph.security.serviceSource | このアラートを作成したサービスまたは製品。 可能な値は、unknown、microsoftDefenderForEndpoint、microsoftDefenderForIdentity、microsoftDefenderForCloudApps、microsoftDefenderForOffice365、microsoft365Defender、azureAdIdentityProtection、microsoftAppGovernance、dataLossPrevention、unknownFutureValue、microsoftDefenderForCloud、microsoftSentinel です。
Prefer: include-unknown-enum-members要求ヘッダーを使用して、この進化可能な列挙型で次の値を取得する必要があります:microsoftDefenderForCloud、microsoftSentinel。 |
| severity | microsoft.graph.security.alertSeverity | 資産に与える可能性のある影響を示します。 重大度が高いほど、影響が大きくなります。 通常、重大度が高い項目では、最も早い注意が必要です。 使用可能な値: unknown、informational、low、medium、high、unknownFutureValue。 |
| status | microsoft.graph.security.alertStatus | アラートの状態。 使用可能な値: new、inProgress、resolved、unknownFutureValue。 |
| tenantId | String | アラートが作成された Microsoft Entra テナント。 |
| threatDisplayName | String | このアラートに関連付けられている脅威。 |
| threatFamilyName | String | このアラートに関連付けられている脅威ファミリ。 |
| title | String | アラートを説明する文字列値を簡単に識別します。 |
| systemTags | String collection | アラートに関連付けられているシステム タグ。 |
alertClassification 値
| メンバー | 説明 |
|---|---|
| 不明 | アラートはまだ分類されていません。 |
| falsePositive | アラートは誤検知であり、悪意のあるアクティビティを検出しませんでした。 |
| truePositive | アラートは真陽性であり、悪意のあるアクティビティを検出します。 |
| informationalExpectedActivity | アラートは問題のない陽性であり、信頼された内部ユーザー (セキュリティ テストなど) によって悪意のある可能性のあるアクティビティが検出されます。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
alertDetermination 値
| メンバー | 説明 |
|---|---|
| 不明 | 決定値がまだ設定されていません。 |
| apt | 高度な永続的な脅威を検出した真の肯定的なアラート。 |
| マルウェア | 悪意のあるソフトウェアを検出する真の肯定的なアラート。 |
| securityPersonnel | 顧客のセキュリティ チームの誰かが実行した有効な疑わしいアクティビティを検出した真の肯定的なアラート。 |
| securityTesting | 既知のセキュリティ テストの一環として実行された有効な疑わしいアクティビティが検出されました。 |
| unwantedSoftware | アラートで不要なソフトウェアが検出されました。 |
| 他 | その他の決定。 |
| multiStagedAttack | 複数のキルチェーン攻撃ステージを検出した真陽性アラート。 |
| compromisedAccount | 目的のユーザーの資格情報が侵害または盗まれたことを検出した真の肯定的なアラート。 |
| フィッシング詐欺 | フィッシングメールを検出した真陽性のアラート。 |
| maliciousUserActivity | ログオンしているユーザーが悪意のあるアクティビティを実行することを検出する真の肯定的なアラート。 |
| notMalicious | 誤ったアラート。疑わしいアクティビティはありません。 |
| notEnoughDataToValidate | それ以外の場合は証明するのに十分な情報を含まない、誤ったアラート。 |
| confirmedActivity | アラートは、既知のユーザー アクティビティであるため、OK と見なされる真の疑わしいアクティビティをキャッチしました。 |
| lineOfBusinessApplication | アラートは、既知の確認済みの内部アプリケーションであるため、OK と見なされる真の疑わしいアクティビティをキャッチしました。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
alertSeverity 値
| メンバー | 説明 |
|---|---|
| 不明 | 不明な重大度。 |
| 情報 | アクション可能ではないか、ネットワークに有害と見なされる可能性があるが、潜在的なセキュリティの問題に対する組織のセキュリティ認識を促進する可能性があるアラート。 |
| 低い | 一般的なマルウェアに関連する脅威に関するアラート。 たとえば、ハッキング ツールやマルウェア以外のハッキング ツール (探索コマンドの実行やログのクリアなど) は、多くの場合、組織を対象とする高度な脅威を示していません。 また、組織内のユーザーがテストしている分離されたセキュリティ ツールから取得することもできます。 |
| medium | 高度な永続的な脅威 (APT) の一部である可能性がある検出と応答の侵害後の動作から生成されたアラート。 これらのアラートには、攻撃ステージの一般的な観察された動作、異常なレジストリの変更、疑わしいファイルの実行などが含まれます。 内部セキュリティ テストによるものもありますが、高度な攻撃の一部である可能性があるため、有効な検出であり、調査が必要です。 |
| 高い | 高度な永続的な脅威 (APT) に関連付けられている一般的なアラート。 これらのアラートは、資産に与える損害の重大度が高いため、リスクが高いことを示します。 たとえば、資格情報の盗難ツールアクティビティ、グループに関連付けられていないランサムウェア アクティビティ、セキュリティ センサーの改ざん、または人間の敵対者を示す悪意のあるアクティビティなどがあります。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
alertStatus 値
| メンバー | 説明 |
|---|---|
| 不明 | 不明な状態。 |
| 新機能 | 新しいアラート。 |
| inProgress | アラートは軽減の進行中です。 |
| 解決済み | アラートは解決済みの状態です。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
serviceSource 値
| 値 | 説明 |
|---|---|
| 不明 | 不明なサービス ソース。 |
| microsoftDefenderForEndpoint | Microsoft Defender for Endpoint。 |
| microsoftDefenderForIdentity | Microsoft Defender for Identity。 |
| microsoftDefenderForCloudApps | Microsoft Defender for Cloud Apps。 |
| microsoftDefenderForOffice365 | Microsoft Defender for Office 365。 |
| microsoft365Defender | Microsoft 365 Defender。 |
| azureAdIdentityProtection | Microsoft Entra ID Protection。 |
| microsoftAppGovernance | Microsoft アプリ ガバナンス。 |
| dataLossPrevention | Microsoft Purview データ損失防止。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
| microsoftDefenderForCloud | Microsoft Defender for Cloud |
| microsoftSentinel | Microsoft Sentinel |
detectionSource 値
| 値 | 説明 |
|---|---|
| 不明 | 不明な検出ソース。 |
| microsoftDefenderForEndpoint | Microsoft Defender For Endpoint。 |
| ウイルス対策 | ウイルス対策ソフトウェア。 |
| smartScreen | Microsoft Defender SmartScreen。 |
| customTi | カスタム脅威インテリジェンス。 |
| microsoftDefenderForOffice365 | Microsoft Defender for Office 365。 |
| automatedInvestigation | 自動調査。 |
| microsoftThreatExperts | Microsoft Threat Experts。 |
| customDetection | カスタム検出。 |
| microsoftDefenderForIdentity | Microsoft Defender for Identity。 |
| cloudAppSecurity | クラウド アプリのセキュリティ。 |
| microsoft365Defender | Microsoft 365 Defender。 |
| azureAdIdentityProtection | Microsoft Entra ID Protection。 |
| 手動 | 手動による検出。 |
| microsoftDataLossPrevention | Microsoft Purview データ損失防止。 |
| appGovernancePolicy | アプリ ガバナンス ポリシー。 |
| appGovernanceDetection | アプリ ガバナンスの検出。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
| microsoftDefenderForCloud | Microsoft Defender for Cloud |
| microsoftDefenderForIoT | Microsoft Defender for IoT。 |
| microsoftDefenderForServers | Microsoft Defender for Servers。 |
| microsoftDefenderForStorage | Microsoft Defender for Storage。 |
| microsoftDefenderForDNS | Microsoft Defender for DNS。 |
| microsoftDefenderForDatabases | Microsoft Defender for Databases。 |
| microsoftDefenderForContainers | Microsoft Defender for Containers。 |
| microsoftDefenderForNetwork | Microsoft Defender for Network。 |
| microsoftDefenderForAppService | Microsoft Defender for App Service。 |
| microsoftDefenderForKeyVault | Microsoft Defender for Key Vault。 |
| microsoftDefenderForResourceManager | Microsoft Defender for Resource Manager。 |
| microsoftDefenderForApiManagement | Microsoft Defender for API Management。 |
| microsoftSentinel | Microsoft Sentinel |
| nrtAlerts | Sentinel NRT アラート。 |
| scheduledAlerts | Sentinel のスケジュールされたアラート。 |
| microsoftDefenderThreatIntelligenceAnalytics | Sentinel 脅威インテリジェンス アラート。 |
| builtInMl | Sentinel 組み込み ML。 |
リレーションシップ
なし。
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}