Поделиться через


Тип ресурса инцидента

Пространство имен: microsoft.graph.security

Инцидент в Microsoft 365 Defender — это коллекция коррелированных экземпляров оповещений и связанных метаданных, отражающая историю атаки на клиент.

Службы и приложения Microsoft 365 создают оповещения при обнаружении подозрительного или вредоносного события или действия. Отдельные оповещения предоставляют ценные подсказки о завершенной или продолжающейся атаке. Однако в атаках обычно используются различные методы против различных типов сущностей, например устройств, пользователей и почтовых ящиков. Это приводит к созданию нескольких оповещений для нескольких сущностей в клиенте. Поскольку объединение отдельных оповещений для получения представления об атаке может быть сложной задачей и требовать много времени, Microsoft 365 Defender автоматически объединяет оповещения и связанную с ними информацию в инцидент.

Методы

Метод Тип возвращаемых данных Описание
Получение списка инцидентов Коллекция microsoft.graph.security.incident Получите список объектов инцидентов , созданных Microsoft 365 Defender для отслеживания атак в организации.
Получение инцидента microsoft.graph.security.incident Чтение свойств и связей объекта инцидента .
Обновление данных об инциденте microsoft.graph.security.incident Обновление свойств объекта инцидента .
Создание комментария для инцидента alertComment Создайте комментарий для существующего инцидента на основе указанного свойства идентификатора инцидента.

Свойства

Свойство Тип Описание
assignedTo String Владелец инцидента или значение NULL, если владелец не назначен. Бесплатный редактируемый текст.
classification microsoft.graph.security.alertClassification Спецификация инцидента. Возможные значения: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
comments Коллекция microsoft.graph.security.alertComment Массив комментариев, созданный командой по операциям безопасности (SecOps) при управлении инцидентом.
createdDateTime DateTimeOffset Время создания инцидента.
customTags Коллекция строк Массив настраиваемых тегов, связанных с инцидентом.
description String Описание инцидента.
решимость microsoft.graph.security.alertDetermination Указывает определение инцидента. Возможные значения: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue.
displayName String Имя инцидента.
id String Уникальный идентификатор, представляющий инцидент.
incidentWebUrl String URL-адрес страницы инцидента на портале Microsoft 365 Defender.
lastModifiedBy String Удостоверение, последнее изменившее инцидент.
lastUpdateDateTime DateTimeOffset Время последнего обновления инцидента.
redirectIncidentId String Заполняется только в том случае, если инцидент сгруппирован с другим инцидентом в рамках логики, обрабатывающей инциденты. В этом случае свойство status имеет значение redirected.
resolveingComment String Входные данные пользователя, объясняющие разрешение инцидента и выбор классификации. Это свойство содержит свободный редактируемый текст.
severity alertSeverity Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют самого непосредственного внимания. Возможные значения: unknown, informational, low, medium, high, unknownFutureValue.
status microsoft.graph.security.incidentStatus Состояние инцидента. Возможные значения: active, resolved, inProgress, redirected, unknownFutureValueи awaitingAction.
summary String Обзор атаки. Если применимо, сводка содержит сведения о том, что произошло, затронутых ресурсах и типе атаки.
systemTags Коллекция строк Системные теги, связанные с инцидентом.
tenantId String Клиент Microsoft Entra, в котором было создано оповещение.

Значения incidentStatus

В следующей таблице перечислены члены расширяемого перечисления. Чтобы получить следующие значения в этой развиваемой перечислении, необходимо использовать Prefer: include-unknown-enum-members заголовок запроса: awaitingAction.

Member Описание
активный Инцидент находится в активном состоянии.
resolved Инцидент находится в разрешенном состоянии.
inProgress Инцидент находится в процессе устранения последствий.
Перенаправлены Инцидент был объединен с другим инцидентом. Идентификатор целевого инцидента отображается в свойстве redirectIncidentId .
unknownFutureValue Изменяемое значение перечисления sentinel. Не используйте.
awaitingAction Этот инцидент требует действий от экспертов Defender, ожидающих ваших действий. Это состояние могут задать только эксперты Microsoft 365 Defender.

Связи

Связь Тип Описание
оповещения Коллекция microsoft.graph.security.alert Список связанных оповещений. Поддерживает $expand.

Представление JSON

В следующем представлении JSON показан тип ресурса.

{
  "@odata.type": "#microsoft.graph.security.incident",
  "assignedTo": "String",
  "classification": "String",
  "comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
  "createdDateTime": "String (timestamp)",
  "customTags": ["String"],
  "description" : "String",
  "determination": "String",
  "displayName": "String",
  "id": "String (identifier)",
  "incidentWebUrl": "String",
  "lastModifiedBy": "String",
  "lastUpdateDateTime": "String (timestamp)",
  "redirectIncidentId": "String",
  "resolvingComment": "String",
  "severity": "String",
  "status": "String",
  "summary": "String",
  "systemTags" : ["String"],
  "tenantId": "String"
}