次の方法で共有


alertEvidence リソースの種類

名前空間: microsoft.graph.security

アラートに関連する証拠を表 します

alertEvidence 基本型とその派生証拠の種類は、アラートに関連する各成果物に関する豊富なデータを整理および追跡するための手段を提供します。 たとえば、侵害されたユーザー アカウントを使用してクラウド サービスにサインインする攻撃者の IP アドレスに関する アラート は、次の証拠を追跡できます。

このリソースは、次の証拠の種類の基本型です。

プロパティ

プロパティ 説明
createdDateTime DateTimeOffset 証拠が作成され、アラートに追加された日時。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。
detailedRoles String collection アラート内のエンティティ ロールの詳細な説明。 値は自由形式です。
remediationStatus microsoft.graph.security.evidenceRemediationStatus 実行された修復アクションの状態。 使用できる値は、 noneremediatedpreventedblockednotFoundunknownFutureValueactivependingApprovaldeclinedunremediatedrunningpartiallyRemediatedです。 activependingApprovaldeclinedunremediatedrunningpartiallyRemediatedなど、この進化可能な列挙型から次の値を取得するには、Prefer: include-unknown-enum-members要求ヘッダーを使用する必要があることに注意してください。
remediationStatusDetails String 修復の状態の詳細。
roles microsoft.graph.security.evidenceRole コレクション 証拠エンティティがアラートで表すロール (たとえば、攻撃者に関連付けられている IP アドレスには、攻撃者の証拠ロール があります)。
tags String collection たとえば、デバイスのグループ、価値の高い資産などを示すために、証拠インスタンスに関連付けられたカスタム タグの配列。
評決 microsoft.graph.security.evidenceVerdict 自動化された調査によって実現された決定。 使用可能な値: unknownsuspiciousmaliciousnoThreatsFoundunknownFutureValue

detectionSource 値

説明
検出 実行された脅威の製品が検出されました。
ブロック 脅威は実行時に修復されました。
防止 脅威が発生するのを防いだ (実行、ダウンロードなど)。
unknownFutureValue 進化可能な列挙センチネル値。 使用しないでください。

evidenceRemediationStatus 値

メンバー 説明
none 脅威が見つかりませんでした。
修復 修復アクションが正常に完了しました。
防止 脅威の実行が禁止されました。
ブロック 実行中に脅威がブロックされました。
notFound 証拠が見つかりませんでした。
unknownFutureValue 進化可能な列挙センチネル値。 使用しないでください。
アクティブ 調査が実行中/保留中であり、修復はまだ完了していません。
pendingApproval 修復アクションは承認待ちです。
減少 修復アクションが拒否されました。
修復されない 調査によって修復が元に戻され、エンティティが復旧されます。
ランニング 修復アクションが実行されています。
partiallyRemediated 脅威は部分的に再現されました。

evidenceRole 値

メンバー 説明
不明 証拠ロールは不明です。
コンテキスト 問題が発生した可能性が高いが、攻撃者のアクションの副作用として報告されたエンティティ。 たとえば、悪意のあるサービスを開始するために、問題のない services.exe プロセスが使用されました。
スキャン 検出スキャンまたは偵察アクションのターゲットとして識別されるエンティティ。 たとえば、ポート スキャナーを使用してネットワークをスキャンしました。
source アクティビティの送信元エンティティ。 たとえば、デバイス、ユーザー、IP アドレスなどです。
行き先 アクティビティが送信されたエンティティ。 たとえば、デバイス、ユーザー、IP アドレスなどです。
作成済み エンティティは、攻撃者の操作の結果として作成されました。 たとえば、ユーザー アカウントが作成されました。
追加済み 攻撃者の操作の結果、エンティティが追加されました。 たとえば、ユーザー アカウントがアクセス許可グループに追加されました。
侵害 エンティティが侵害され、攻撃者の管理下にあります。 たとえば、ユーザー アカウントが侵害され、クラウド サービスにログインするために使用されました。
編集済み エンティティが攻撃者によって編集または変更されました。 たとえば、サービスのレジストリ キーは、新しい悪意のあるペイロードの場所を指すよう編集されました。
攻撃 エンティティが攻撃されました。 たとえば、デバイスは DDoS 攻撃の対象でした。
アタッカー エンティティは攻撃者を表します。 たとえば、攻撃者の IP アドレスは、侵害されたユーザー アカウントを使用してクラウド サービスにログインしているのを観察しました。
commandAndControl エンティティは、コマンドと制御に使用されています。 たとえば、マルウェアによって使用される C2 (コマンドと制御) ドメインなどです。
ロード エンティティは、攻撃者の制御下にあるプロセスによって読み込まれました。 たとえば、DLL が攻撃者が制御するプロセスに読み込まれました。
怪しい エンティティは悪意を持っているか、攻撃者によって制御されていると疑われますが、攻撃されていません。
policyViolator エンティティは、顧客定義ポリシーの違反者です。
unknownFutureValue 進化可能な列挙センチネル値。 使用しないでください。

evidenceVerdict 値

メンバー 説明
不明 証拠に対する判決は決定されなかった。
怪しい 承認待ちの推奨修復アクション。
腹黒い 証拠は悪意があると判断されました。
noThreatsFound 脅威が検出されなかった - 証拠は良性です。
unknownFutureValue 進化可能な列挙センチネル値。 使用しないでください。

リレーションシップ

なし。

JSON 表記

次の JSON 表現は、リソースの種類を示しています。

{
  "@odata.type": "#microsoft.graph.security.alertEvidence",
  "createdDateTime": "String (timestamp)",
  "verdict": "String",
  "remediationStatus": "String",
  "remediationStatusDetails": "String",
  "roles": [
    "String"
  ],
  "detailedRoles": [
    "String"
  ],
  "tags": [
    "String"
  ]
}