Тип ресурса инцидента
Пространство имен: microsoft.graph.security
Инцидент в Microsoft 365 Defender — это коллекция коррелированных экземпляров оповещений и связанных метаданных, отражающая историю атаки на клиент.
Службы и приложения Microsoft 365 создают оповещения при обнаружении подозрительного или вредоносного события или действия. Отдельные оповещения предоставляют ценные подсказки о завершенной или продолжающейся атаке. Однако в атаках обычно используются различные методы против различных типов сущностей, например устройств, пользователей и почтовых ящиков. Это приводит к созданию нескольких оповещений для нескольких сущностей в клиенте. Поскольку объединение отдельных оповещений для получения представления об атаке может быть сложной задачей и требовать много времени, Microsoft 365 Defender автоматически объединяет оповещения и связанную с ними информацию в инцидент.
Методы
Метод | Тип возвращаемых данных | Описание |
---|---|---|
Получение списка инцидентов | Коллекция microsoft.graph.security.incident | Получите список объектов инцидентов , созданных Microsoft 365 Defender для отслеживания атак в организации. |
Получение инцидента | microsoft.graph.security.incident | Чтение свойств и связей объекта инцидента . |
Обновление данных об инциденте | microsoft.graph.security.incident | Обновление свойств объекта инцидента . |
Создание комментария для инцидента | alertComment | Создайте комментарий для существующего инцидента на основе указанного свойства идентификатора инцидента. |
Свойства
Свойство | Тип | Описание |
---|---|---|
assignedTo | String | Владелец инцидента или значение NULL, если владелец не назначен. Бесплатный редактируемый текст. |
classification | microsoft.graph.security.alertClassification | Спецификация инцидента. Возможные значения: unknown , falsePositive , truePositive , informationalExpectedActivity , unknownFutureValue . |
comments | Коллекция microsoft.graph.security.alertComment | Массив комментариев, созданный командой по операциям безопасности (SecOps) при управлении инцидентом. |
createdDateTime | DateTimeOffset | Время создания инцидента. |
customTags | Коллекция строк | Массив настраиваемых тегов, связанных с инцидентом. |
description | String | Описание инцидента. |
решимость | microsoft.graph.security.alertDetermination | Указывает определение инцидента. Возможные значения: unknown , apt , malware , securityPersonnel , securityTesting , unwantedSoftware , other , multiStagedAttack , compromisedUser , phishing , maliciousUserActivity , clean , insufficientData , confirmedUserActivity , lineOfBusinessApplication , unknownFutureValue . |
displayName | String | Имя инцидента. |
id | String | Уникальный идентификатор, представляющий инцидент. |
incidentWebUrl | String | URL-адрес страницы инцидента на портале Microsoft 365 Defender. |
lastModifiedBy | String | Удостоверение, последнее изменившее инцидент. |
lastUpdateDateTime | DateTimeOffset | Время последнего обновления инцидента. |
redirectIncidentId | String | Заполняется только в том случае, если инцидент сгруппирован с другим инцидентом в рамках логики, обрабатывающей инциденты. В этом случае свойство status имеет значение redirected . |
resolveingComment | String | Входные данные пользователя, объясняющие разрешение инцидента и выбор классификации. Это свойство содержит свободный редактируемый текст. |
severity | alertSeverity | Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют самого непосредственного внимания. Возможные значения: unknown , informational , low , medium , high , unknownFutureValue . |
status | microsoft.graph.security.incidentStatus | Состояние инцидента. Возможные значения: active , resolved , inProgress , redirected , unknownFutureValue и awaitingAction . |
summary | String | Обзор атаки. Если применимо, сводка содержит сведения о том, что произошло, затронутых ресурсах и типе атаки. |
systemTags | Коллекция строк | Системные теги, связанные с инцидентом. |
tenantId | String | Клиент Microsoft Entra, в котором было создано оповещение. |
Значения incidentStatus
В следующей таблице перечислены члены расширяемого перечисления. Чтобы получить следующие значения в этой развиваемой перечислении, необходимо использовать Prefer: include-unknown-enum-members
заголовок запроса: awaitingAction
.
Member | Описание |
---|---|
активный | Инцидент находится в активном состоянии. |
resolved | Инцидент находится в разрешенном состоянии. |
inProgress | Инцидент находится в процессе устранения последствий. |
Перенаправлены | Инцидент был объединен с другим инцидентом. Идентификатор целевого инцидента отображается в свойстве redirectIncidentId . |
unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
awaitingAction | Этот инцидент требует действий от экспертов Defender, ожидающих ваших действий. Это состояние могут задать только эксперты Microsoft 365 Defender. |
Связи
Связь | Тип | Описание |
---|---|---|
оповещения | Коллекция microsoft.graph.security.alert | Список связанных оповещений. Поддерживает $expand . |
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String"
}