tipo de alerta do recurso
Espaço de nomes: microsoft.graph.security
Este recurso corresponde ao lote mais recente de alertas gerados pela API de segurança do Microsoft Graph. Este recurso representa potenciais problemas de segurança no inquilino de um cliente que o Microsoft 365 Defender, ou um fornecedor de segurança integrado com o Microsoft 365 Defender, identificou.
Quando um fornecedor de segurança deteta uma ameaça, cria um alerta no sistema. O Microsoft 365 Defender extrai estes dados de alerta do fornecedor de segurança e consome os dados de alerta para devolver pistas valiosas num recurso de alerta sobre qualquer ataque relacionado, recursos afetados e provas associadas. Correlaciona automaticamente outros alertas com as mesmas técnicas de ataque ou com o mesmo atacante num incidente para fornecer um contexto mais amplo de um ataque. Agregar alertas dessa maneira ajuda os analistas a investigar e responder a ameaças coletivamente.
Observação
Este recurso é um dos dois tipos de alertas que a versão v1.0 da API de segurança do Microsoft Graph oferece. Para obter mais informações, veja alertas.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| List | coleção microsoft.graph.security.alert | Obtenha uma lista de recursos de alerta criados para controlar atividades suspeitas numa organização. |
| Get | microsoft.graph.security.alert | Obtenha as propriedades de um objeto de alerta numa organização com base na propriedade do ID de alerta especificada. |
| Atualizar | microsoft.graph.security.alert | Atualize as propriedades de um objeto de alerta numa organização com base na propriedade do ID de alerta especificada. |
| Criar comentário | alertComment | Crie um comentário para um alerta existente com base na propriedade ID de alerta especificada. |
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| actorDisplayName | Cadeia de caracteres | O adversário ou grupo de atividade que está associado a este alerta. |
| additionalData | microsoft.graph.security.dictionary | Uma coleção de outras propriedades de alerta, incluindo propriedades definidas pelo utilizador. Todos os detalhes personalizados definidos no alerta e qualquer conteúdo dinâmico nos detalhes do alerta são armazenados aqui. |
| alertPolicyId | Cadeia de caracteres | O ID da política que gerou o alerta e preenchido quando existe uma política específica que gerou o alerta, quer seja configurado por um cliente ou por uma política incorporada. |
| alertWebUrl | Cadeia de caracteres | URL da página de alerta do portal do Microsoft 365 Defender. |
| assignedTo | Cadeia de caracteres | Proprietário do alerta ou nulo se não for atribuído nenhum proprietário. |
| category | Cadeia de caracteres | A categoria de cadeia de eliminação de ataques à qual o alerta pertence. Alinhado com a arquitetura MITRE ATT&CK. |
| classificação | microsoft.graph.security.alertClassification | Especifica se o alerta representa uma ameaça verdadeira. Os valores possíveis são: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| comentários | coleção microsoft.graph.security.alertComment | Matriz de comentários criados pela equipa de Operações de Segurança (SecOps) durante o processo de gestão de alertas. |
| createdDateTime | DateTimeOffset | Hora em que o Microsoft 365 Defender criou o alerta. |
| description | Cadeia de caracteres | Valor da cadeia que descreve cada alerta. |
| detectionSource | microsoft.graph.security.detectionSource | Tecnologia ou sensor de deteção que identificou o componente ou atividade notável. Os valores possíveis são: unknown, , microsoftDefenderForEndpoint, smartScreenantivirus, customTi, microsoftDefenderForOffice365, microsoftThreatExpertsautomatedInvestigation, customDetection, microsoftDefenderForIdentity, cloudAppSecurity, , manualappGovernanceDetectionmicrosoftDataLossPreventionazureAdIdentityProtectionunknownFutureValueappGovernancePolicymicrosoft365Defender, microsoftDefenderForCloudmicrosoftDefenderForIoTmicrosoftDefenderForServers, microsoftDefenderForContainersmicrosoftDefenderForDNSmicrosoftDefenderForDatabasesmicrosoftDefenderForStorage, microsoftDefenderForNetwork, microsoftDefenderForAppService, microsoftDefenderForKeyVault, microsoftDefenderForResourceManagermicrosoftDefenderForApiManagement, nrtAlertsscheduledAlertsmicrosoftSentinel, . builtInMlmicrosoftDefenderThreatIntelligenceAnalytics Tem de utilizar o cabeçalho do Prefer: include-unknown-enum-members pedido para obter os seguintes valores nesta enumeração evoluível: microsoftDefenderForCloud, , microsoftDefenderForIoT, microsoftDefenderForServers, microsoftDefenderForStoragemicrosoftDefenderForDNS, , microsoftDefenderForDatabases, microsoftDefenderForContainersmicrosoftDefenderForNetwork, microsoftDefenderForAppService, , microsoftDefenderForKeyVault, microsoftDefenderForResourceManager, , microsoftDefenderForApiManagement, microsoftSentinel, , nrtAlerts, scheduledAlerts, microsoftDefenderThreatIntelligenceAnalytics. builtInMl |
| detectorId | Cadeia de caracteres | O ID do detetor que acionou o alerta. |
| determinação | microsoft.graph.security.alertDetermination | Especifica o resultado da investigação, se o alerta representa um ataque verdadeiro e, em caso afirmativo, a natureza do ataque. Os valores possíveis são: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue. |
| provas | coleção microsoft.graph.security.alertEvidence | Recolha de provas relacionadas com o alerta. |
| firstActivityDateTime | DateTimeOffset | A atividade mais antiga associada ao alerta. |
| id | Cadeia de caracteres | Identificador exclusivo para representar o recurso de alerta . |
| incidentId | Cadeia de caracteres | Identificador exclusivo para representar o incidente ao qual este recurso de alerta está associado. |
| incidentWebUrl | Cadeia de caracteres | URL da página do incidente no portal do Microsoft 365 Defender. |
| lastActivityDateTime | DateTimeOffset | A atividade mais antiga associada ao alerta. |
| lastUpdateDateTime | DateTimeOffset | Hora em que o alerta foi atualizado pela última vez no Microsoft 365 Defender. |
| mitreTechniques | Collection(Edm.String) | As técnicas de ataque, alinhadas com a arquitetura MITRE ATT&CK. |
| productName | Cadeia de caracteres | O nome do produto que publicou este alerta. |
| providerAlertId | Cadeia de caracteres | O ID do alerta tal como aparece no produto do fornecedor de segurança que gerou o alerta. |
| recommendedActions | Cadeia de caracteres | Ações de resposta e remediação recomendadas a realizar no caso de este alerta ter sido gerado. |
| resolvedDateTime | DateTimeOffset | Hora em que o alerta foi resolvido. |
| serviceSource | microsoft.graph.security.serviceSource | O serviço ou produto que criou este alerta. Os valores possíveis são: unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud, microsoftSentinel. Tem de utilizar o cabeçalho do Prefer: include-unknown-enum-members pedido para obter os seguintes valores nesta enumeração evoluível: microsoftDefenderForCloud, microsoftSentinel. |
| severity | microsoft.graph.security.alertSeverity | Indica o possível impacto nos recursos. Quanto maior for a gravidade, maior será o impacto. Normalmente, os itens de gravidade mais elevados requerem a atenção mais imediata. Os possíveis valores são: unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.alertStatus | O estado do alerta. Os valores possíveis são: new, inProgress, resolved, unknownFutureValue. |
| tenantId | String | O inquilino do Microsoft Entra no qual o alerta foi criado. |
| threatDisplayName | Cadeia de caracteres | A ameaça associada a este alerta. |
| threatFamilyName | Cadeia de caracteres | Família de ameaças associada a este alerta. |
| title | Cadeia de caracteres | Breve identificação do valor da cadeia que descreve o alerta. |
| systemTags | Coleção de cadeias de caracteres | As etiquetas de sistema associadas ao alerta. |
valores alertClassification
| Member | Descrição |
|---|---|
| desconhecido | O alerta ainda não está classificado. |
| falsePositive | O alerta é um falso positivo e não detetou atividades maliciosas. |
| truePositive | O alerta é verdadeiro positivo e detetou atividade maliciosa. |
| informationalExpectedActivity | O alerta é positivo benigno e detetou atividade potencialmente maliciosa por um utilizador fidedigno/interno, por exemplo, testes de segurança. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
valores alertDetermination
| Member | Descrição |
|---|---|
| desconhecido | Ainda não foi definido nenhum valor de determinação. |
| apt | Um verdadeiro alerta positivo que detetou uma ameaça persistente avançada. |
| malware | Um verdadeiro alerta positivo que detetou software malicioso. |
| pessoal de segurança | Um verdadeiro alerta positivo que detetou uma atividade suspeita válida que alguém da equipa de segurança do cliente realizou. |
| securityTesting | O alerta detetou atividades suspeitas válidas que foram realizadas como parte de um teste de segurança conhecido. |
| unwantedSoftware | O alerta detetou software indesejado. |
| outro | Outra determinação. |
| multiStagedAttack | Um verdadeiro alerta positivo que detetou várias fases de ataque da cadeia de eliminação. |
| compromisedAccount | Um verdadeiro alerta positivo que detetou que as credenciais do utilizador pretendido foram comprometidas ou roubadas. |
| phishing | Um verdadeiro alerta positivo que detetou um e-mail de phishing. |
| maliciousUserActivity | Um verdadeiro alerta positivo que detetou que o utilizador com sessão iniciada executa atividades maliciosas. |
| notMalicious | Um alerta falso, sem atividade suspeita. |
| notEnoughDataToValidate | Um alerta falso, sem informações suficientes para provar o contrário. |
| confirmedActivity | O alerta captou uma atividade suspeita verdadeira que é considerada OK porque é uma atividade de utilizador conhecida. |
| lineOfBusinessApplication | O alerta captou uma atividade suspeita verdadeira que é considerada OK porque é uma aplicação interna conhecida e confirmada. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
alertSeverity values (valores alertSeverity)
| Member | Descrição |
|---|---|
| desconhecido | Gravidade desconhecida. |
| informativo | Alertas que podem não ser acionáveis ou considerados prejudiciais para a rede, mas que podem impulsionar a deteção de segurança organizacional sobre potenciais problemas de segurança. |
| low | Alertas sobre ameaças associadas a software maligno predominante. Por exemplo, ferramentas de hack, ferramentas de hack nãomalware, como executar comandos de exploração e limpar registos, que muitas vezes não indicam uma ameaça avançada que visa a organização. Também pode ser proveniente de uma ferramenta de segurança isolada que um utilizador na sua organização está a testar. |
| medium | Alertas gerados a partir de deteções e comportamentos pós-falha de resposta que podem fazer parte de uma ameaça persistente avançada (APT). Este nível de gravidade inclui comportamentos observados típicos de fases de ataque, alteração anómalo do registo, execução de ficheiros suspeitos, etc. Embora alguns possam dever-se a testes de segurança internos, são deteções válidas e requerem investigação, uma vez que podem fazer parte de um ataque avançado. |
| high | Alertas normalmente vistos associados a ameaças persistentes avançadas (APT). Estes alertas indicam um risco elevado devido à gravidade dos danos que podem infligir aos recursos. Alguns exemplos são: atividades de ferramentas de roubo de credenciais, atividades de ransomware não associadas a nenhum grupo, adulteração de sensores de segurança ou quaisquer atividades maliciosas indicativas de um adversário humano. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
valores alertStatus
| Member | Descrição |
|---|---|
| desconhecido | Estado desconhecido. |
| Novo | Novo alerta. |
| inProgress | O alerta está em curso de mitigação. |
| resolvido | O alerta está no estado resolvido. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
valores de serviceSource
| Valor | Descrição |
|---|---|
| desconhecido | Origem de serviço desconhecida. |
| microsoftDefenderForEndpoint | Microsoft Defender para Ponto de Extremidade. |
| microsoftDefenderForIdentity | Microsoft Defender para Identidade. |
| microsoftDefenderForCloudApps | Microsoft Cloud App Security. |
| microsoftDefenderForOffice365 | Microsoft Defender para Office365. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Proteção do Microsoft Entra ID. |
| microsoftAppGovernance | Governação de aplicações da Microsoft. |
| dataLossPrevention | Prevenção de Perda de Dados do Microsoft Purview. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
| microsoftDefenderForCloud | Microsoft Defender for Cloud. |
| microsoftSentinel | Microsoft Sentinel. |
detectionSource values (valores de detectionSource)
| Valor | Descrição |
|---|---|
| desconhecido | Origem de deteção desconhecida. |
| microsoftDefenderForEndpoint | Microsoft Defender para Endpoint. |
| antivírus | Software antivírus. |
| smartScreen | Microsoft Defender SmartScreen. |
| customTi | Informações sobre ameaças personalizadas. |
| microsoftDefenderForOffice365 | Microsoft Defender para Office 365. |
| automatedInvestigation | Investigação automatizada. |
| microsoftThreatExperts | Especialistas em Ameaças da Microsoft. |
| customDetection | Deteção personalizada. |
| microsoftDefenderForIdentity | Microsoft Defender para Identidade. |
| cloudAppSecurity | Cloud app security. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Proteção do Microsoft Entra ID. |
| Manual | Deteção manual. |
| microsoftDataLossPrevention | Prevenção de Perda de Dados do Microsoft Purview. |
| appGovernancePolicy | Política de governação de aplicações. |
| appGovernanceDetection | Deteção de governação de aplicações. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
| microsoftDefenderForCloud | Microsoft Defender for Cloud. |
| microsoftDefenderForIoT | Microsoft Defender para IoT. |
| microsoftDefenderForServers | Microsoft Defender para Servidores. |
| microsoftDefenderForStorage | Microsoft Defender para Armazenamento. |
| microsoftDefenderForDNS | Microsoft Defender para DNS. |
| microsoftDefenderForDatabases | Microsoft Defender para Bases de Dados. |
| microsoftDefenderForContainers | Microsoft Defender para Contentores. |
| microsoftDefenderForNetwork | Microsoft Defender para Rede. |
| microsoftDefenderForAppService | Serviço do Microsoft Defender para Aplicações. |
| microsoftDefenderForKeyVault | Microsoft Defender para Key Vault. |
| microsoftDefenderForResourceManager | Microsoft Defender para Resource Manager. |
| microsoftDefenderForApiManagement | Microsoft Defender para Gestão de API. |
| microsoftSentinel | Microsoft Sentinel. |
| nrtAlerts | Alertas NRT do Sentinel. |
| scheduledAlerts | Alertas Agendados do Sentinel. |
| microsoftDefenderThreatIntelligenceAnalytics | Alertas de Informações sobre Ameaças do Sentinel. |
| builtInMl | ML Incorporado do Sentinel. |
Relações
Nenhum
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}