alertEvidence リソースの種類
名前空間: microsoft.graph.security
アラートに関連する証拠を表 します。
alertEvidence 基本型とその派生証拠の種類は、アラートに関連する各成果物に関する豊富なデータを整理および追跡するための手段を提供します。 たとえば、侵害されたユーザー アカウントを使用してクラウド サービスにサインインする攻撃者の IP アドレスに関する アラート は、次の証拠を追跡できます。
-
ip evidence with the roles of
attacker
andsource
, remediation status ofrunning
, and verdict ofmalicious
. -
contextual
の役割を持つクラウド アプリケーションの証拠。 -
compromised
の役割を持つハッキングされたユーザー アカウントのメールボックス証拠。
このリソースは、次の証拠の種類の基本型です。
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- iotDeviceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailClusterEvidence
- mailboxEvidence
- nicEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- urlEvidence
- userEvidence
プロパティ
プロパティ | 型 | 説明 |
---|---|---|
createdDateTime | DateTimeOffset | 証拠が作成され、アラートに追加された日時。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
detailedRoles | String collection | アラート内のエンティティ ロールの詳細な説明。 値は自由形式です。 |
remediationStatus | microsoft.graph.security.evidenceRemediationStatus | 実行された修復アクションの状態。 使用できる値は、 none 、 remediated 、 prevented 、 blocked 、 notFound 、 unknownFutureValue 、 active 、 pendingApproval 、 declined 、 unremediated 、 running 、 partiallyRemediated です。
active 、pendingApproval 、declined 、unremediated 、running 、partiallyRemediated など、この進化可能な列挙型から次の値を取得するには、Prefer: include-unknown-enum-members 要求ヘッダーを使用する必要があることに注意してください。 |
remediationStatusDetails | String | 修復の状態の詳細。 |
roles | microsoft.graph.security.evidenceRole コレクション | 証拠エンティティがアラートで表すロール (たとえば、攻撃者に関連付けられている IP アドレスには、攻撃者の証拠ロール があります)。 |
tags | String collection | たとえば、デバイスのグループ、価値の高い資産などを示すために、証拠インスタンスに関連付けられたカスタム タグの配列。 |
評決 | microsoft.graph.security.evidenceVerdict | 自動化された調査によって実現された決定。 使用可能な値: unknown 、suspicious 、malicious 、noThreatsFound 、unknownFutureValue 。 |
detectionSource 値
値 | 説明 |
---|---|
検出 | 実行された脅威の製品が検出されました。 |
ブロック | 脅威は実行時に修復されました。 |
防止 | 脅威が発生するのを防いだ (実行、ダウンロードなど)。 |
unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
evidenceRemediationStatus 値
メンバー | 説明 |
---|---|
none | 脅威が見つかりませんでした。 |
修復 | 修復アクションが正常に完了しました。 |
防止 | 脅威の実行が禁止されました。 |
ブロック | 実行中に脅威がブロックされました。 |
notFound | 証拠が見つかりませんでした。 |
unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
アクティブ | 調査が実行中/保留中であり、修復はまだ完了していません。 |
pendingApproval | 修復アクションは承認待ちです。 |
減少 | 修復アクションが拒否されました。 |
修復されない | 調査によって修復が元に戻され、エンティティが復旧されます。 |
ランニング | 修復アクションが実行されています。 |
partiallyRemediated | 脅威は部分的に再現されました。 |
evidenceRole 値
メンバー | 説明 |
---|---|
不明 | 証拠ロールは不明です。 |
コンテキスト | 問題が発生した可能性が高いが、攻撃者のアクションの副作用として報告されたエンティティ。 たとえば、悪意のあるサービスを開始するために、問題のない services.exe プロセスが使用されました。 |
スキャン | 検出スキャンまたは偵察アクションのターゲットとして識別されるエンティティ。 たとえば、ポート スキャナーを使用してネットワークをスキャンしました。 |
source | アクティビティの送信元エンティティ。 たとえば、デバイス、ユーザー、IP アドレスなどです。 |
行き先 | アクティビティが送信されたエンティティ。 たとえば、デバイス、ユーザー、IP アドレスなどです。 |
作成済み | エンティティは、攻撃者の操作の結果として作成されました。 たとえば、ユーザー アカウントが作成されました。 |
追加済み | 攻撃者の操作の結果、エンティティが追加されました。 たとえば、ユーザー アカウントがアクセス許可グループに追加されました。 |
侵害 | エンティティが侵害され、攻撃者の管理下にあります。 たとえば、ユーザー アカウントが侵害され、クラウド サービスにログインするために使用されました。 |
編集済み | エンティティが攻撃者によって編集または変更されました。 たとえば、サービスのレジストリ キーは、新しい悪意のあるペイロードの場所を指すよう編集されました。 |
攻撃 | エンティティが攻撃されました。 たとえば、デバイスは DDoS 攻撃の対象でした。 |
アタッカー | エンティティは攻撃者を表します。 たとえば、攻撃者の IP アドレスは、侵害されたユーザー アカウントを使用してクラウド サービスにログインしているのを観察しました。 |
commandAndControl | エンティティは、コマンドと制御に使用されています。 たとえば、マルウェアによって使用される C2 (コマンドと制御) ドメインなどです。 |
ロード | エンティティは、攻撃者の制御下にあるプロセスによって読み込まれました。 たとえば、DLL が攻撃者が制御するプロセスに読み込まれました。 |
怪しい | エンティティは悪意を持っているか、攻撃者によって制御されていると疑われますが、攻撃されていません。 |
policyViolator | エンティティは、顧客定義ポリシーの違反者です。 |
unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
evidenceVerdict 値
メンバー | 説明 |
---|---|
不明 | 証拠に対する判決は決定されなかった。 |
怪しい | 承認待ちの推奨修復アクション。 |
腹黒い | 証拠は悪意があると判断されました。 |
noThreatsFound | 脅威が検出されなかった - 証拠は良性です。 |
unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
リレーションシップ
なし。
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}