警报资源类型
Namespace:microsoft.graph.security
此资源对应于 Microsoft Graph 安全 API 生成的最新一批警报。 此资源表示客户租户中的潜在安全问题,Microsoft 365 Defender 或与 Microsoft 365 Defender 集成的安全提供程序标识。
当安全提供程序检测到威胁时,它会在系统中创建警报。 Microsoft 365 Defender 从安全提供程序提取此警报数据,并使用警报数据在 警报 资源中返回有关任何相关攻击、受影响资产和相关 证据的宝贵线索。 它会自动将具有相同攻击技术或相同攻击者的其他警报关联到 事件 中,以提供更广泛的攻击上下文。 以此方式聚合警报可便于分析员更轻松地综合调查和响应威胁。
注意
此资源是 Microsoft Graph 安全 API 的 v1.0 版本提供的两种类型的警报之一。
有关详细信息,请参阅 警报。
方法
属性
属性 |
类型 |
说明 |
actorDisplayName |
String |
与此警报关联的攻击者或活动组。 |
additionalData |
microsoft.graph.security.dictionary |
其他警报属性的集合,包括用户定义的属性。 警报中定义的任何自定义详细信息以及警报详细信息中的任何动态内容都存储在此处。 |
alertPolicyId |
String |
生成警报的策略 ID,并在存在生成警报的特定策略时填充的策略 ID,无论是由客户配置还是内置策略。 |
alertWebUrl |
String |
Microsoft 365 Defender 门户警报页的 URL。 |
assignedTo |
String |
警报的所有者,如果未分配所有者,则为 null。 |
“类别” |
String |
警报所属的攻击杀伤链类别。 与 MITRE ATT&CK 框架保持一致。 |
classification |
microsoft.graph.security.alertClassification |
指定警报是否表示真正的威胁。 可取值为:unknown 、falsePositive 、truePositive 、informationalExpectedActivity 、unknownFutureValue 。 |
comments |
microsoft.graph.security.alertComment 集合 |
安全运营 (SecOps) 团队在警报管理过程中创建的注释数组。 |
createdDateTime |
DateTimeOffset |
Microsoft 365 Defender 创建警报的时间。 |
说明 |
String |
描述每个警报的字符串值。 |
detectionSource |
microsoft.graph.security.detectionSource |
识别值得注意的组件或活动的检测技术或传感器。 可能的值为:、、、、antivirus automatedInvestigation smartScreen microsoftThreatExperts customTi microsoftDefenderForOffice365 microsoftDefenderForIdentity customDetection 、microsoftDataLossPrevention manual microsoft365Defender azureAdIdentityProtection appGovernanceDetection appGovernancePolicy unknownFutureValue cloudAppSecurity microsoftDefenderForCloud 、 。 builtInMl microsoftDefenderForDatabases microsoftDefenderForContainers microsoftDefenderForNetwork microsoftDefenderForResourceManager microsoftDefenderForKeyVault microsoftDefenderForApiManagement microsoftDefenderForAppService microsoftSentinel microsoftDefenderForDNS microsoftDefenderThreatIntelligenceAnalytics microsoftDefenderForIoT scheduledAlerts microsoftDefenderForServers nrtAlerts microsoftDefenderForStorage microsoftDefenderForEndpoint unknown 必须使用Prefer: include-unknown-enum-members 请求标头来获取以下值 (在此可演变枚举中的) :microsoftDefenderForCloud 、、microsoftDefenderForIoT 、microsoftDefenderForServers 、microsoftDefenderForStorage 、microsoftDefenderForDatabases microsoftDefenderForContainers microsoftDefenderForNetwork microsoftDefenderForAppService microsoftDefenderForResourceManager microsoftDefenderForApiManagement microsoftDefenderForDNS microsoftDefenderForKeyVault microsoftSentinel 、nrtAlerts 、scheduledAlerts 、 。 builtInMl microsoftDefenderThreatIntelligenceAnalytics |
detectorId |
String |
触发警报的检测器的 ID。 |
测定 |
microsoft.graph.security.alertDetermination |
指定调查的结果,警报是否表示真正的攻击,如果是,则表示攻击的性质。 可取值为:unknown 、apt 、malware 、securityPersonnel 、securityTesting 、unwantedSoftware 、other 、multiStagedAttack 、compromisedAccount 、phishing 、maliciousUserActivity 、notMalicious 、notEnoughDataToValidate 、confirmedUserActivity 、lineOfBusinessApplication 、unknownFutureValue 。 |
证据 |
microsoft.graph.security.alertEvidence 集合 |
收集与警报相关的证据。 |
firstActivityDateTime |
DateTimeOffset |
与警报关联的最早活动。 |
id |
String |
用于表示 警报 资源的唯一标识符。 |
incidentId |
String |
表示与此警报资源关联的事件的唯一标识符。 |
incidentWebUrl |
String |
Microsoft 365 Defender 门户中事件页的 URL。 |
lastActivityDateTime |
DateTimeOffset |
与警报关联的最早活动。 |
lastUpdateDateTime |
DateTimeOffset |
上次更新警报的时间Microsoft 365 Defender。 |
mitreTechniques |
Collection(Edm.String) |
攻击技术,与 MITRE ATT&CK 框架保持一致。 |
productName |
String |
发布此警报的产品的名称。 |
providerAlertId |
String |
在生成警报的安全提供程序产品中显示的警报的 ID。 |
recommendedActions |
String |
建议在生成此警报时要采取的响应和修正操作。 |
resolvedDateTime |
DateTimeOffset |
解决警报的时间。 |
serviceSource |
microsoft.graph.security.serviceSource |
创建此警报的服务或产品。 可取值为:unknown 、microsoftDefenderForEndpoint 、microsoftDefenderForIdentity 、microsoftDefenderForCloudApps 、microsoftDefenderForOffice365 、microsoft365Defender 、azureAdIdentityProtection 、microsoftAppGovernance 、dataLossPrevention 、unknownFutureValue 、microsoftDefenderForCloud 、microsoftSentinel 。 必须使用 Prefer: include-unknown-enum-members 请求标头来获取以下值 (在此 可演变枚举中的) : microsoftDefenderForCloud 、 microsoftSentinel 。 |
severity |
microsoft.graph.security.alertSeverity |
指示对资产可能产生的影响。 严重性越高,影响越大。 通常,严重性较高的项目需要最立即的关注。 可取值为:unknown 、informational 、low 、medium 、high 、unknownFutureValue 。 |
status |
microsoft.graph.security.alertStatus |
警报的状态。 可能的值是:new 、inProgress 、resolved 、unknownFutureValue 。 |
tenantId |
String |
创建警报的Microsoft Entra 租户。 |
threatDisplayName |
String |
与此警报关联的威胁。 |
threatFamilyName |
String |
与此警报关联的威胁系列。 |
title |
String |
描述警报的简短标识字符串值。 |
systemTags |
字符串集合 |
与警报关联的系统标记。 |
alertClassification 值
成员 |
说明 |
unknown |
尚未对警报进行分类。 |
falsePositive |
警报为误报,未检测到恶意活动。 |
truePositive |
警报为真正并检测到恶意活动。 |
informationalExpectedActivity |
警报为良性正,并且被受信任的/内部用户(例如安全测试)检测到潜在的恶意活动。 |
unknownFutureValue |
可演变枚举 sentinel 值。 请勿使用。 |
alertDetermination 值
成员 |
说明 |
unknown |
尚未设置确定值。 |
容易 |
检测到高级持续性威胁的真正警报。 |
恶意软件 |
检测到恶意软件的真正警报。 |
securityPersonnel |
一个真正的正警报,它检测到客户安全团队中的某人执行了有效的可疑活动。 |
securityTesting |
警报检测到作为已知安全测试的一部分执行的有效可疑活动。 |
不需要的Software |
警报检测到不需要的软件。 |
其他 |
其他决定。 |
multiStagedAttack |
检测到多个杀伤链攻击阶段的真正警报。 |
compromisedAccount |
检测到目标用户的凭据已泄露或被盗的真正警报。 |
仿冒 |
检测到钓鱼电子邮件的真正警报。 |
maliciousUserActivity |
检测到登录用户执行恶意活动的真正警报。 |
notMalicious |
错误警报,无可疑活动。 |
notEnoughDataToValidate |
错误警报,没有足够的信息来证明否则。 |
confirmedActivity |
警报捕获了一个真正的可疑活动,该活动被视为正常,因为它是已知的用户活动。 |
lineOfBusinessApplication |
警报捕获了一个真正的可疑活动,该活动被视为正常,因为它是已知且已确认的内部应用程序。 |
unknownFutureValue |
可演变枚举 sentinel 值。 请勿使用。 |
alertSeverity 值
成员 |
说明 |
unknown |
严重性未知。 |
信息 |
警报可能不可操作或认为对网络有害,但可提高组织对潜在安全问题的安全意识。 |
低 |
有关与流行恶意软件关联的威胁的警报。 例如,黑客工具、非恶意软件黑客工具(如运行浏览命令和清除日志)通常不指示针对组织的高级威胁。 它还可能来自组织中用户正在测试的独立安全工具。 |
中等 |
从检测和响应攻击后的行为生成的警报,这些行为可能是高级持久性威胁 (APT) 的一部分。 此严重性级别包括观察到的典型攻击阶段行为、异常注册表更改、可疑文件执行等。 尽管有些可能是由于内部安全测试,但它们是有效的检测,需要调查,因为它们可能是高级攻击的一部分。 |
高 |
通常看到的警报与高级持久性威胁 (APT) 相关联。 这些警报表明存在高风险,因为它们可能会对资产造成严重损害。 一些示例包括:凭据盗窃工具活动、与任何组无关的勒索软件活动、篡改安全传感器或任何指示人类攻击者的恶意活动。 |
unknownFutureValue |
可演变枚举 sentinel 值。 请勿使用。 |
alertStatus 值
成员 |
说明 |
unknown |
未知状态。 |
新增功能 |
新警报。 |
inProgress |
警报正在进行缓解。 |
已解决 |
警报处于“已解决”状态。 |
unknownFutureValue |
可演变枚举 sentinel 值。 请勿使用。 |
serviceSource 值
值 |
说明 |
unknown |
未知的服务源。 |
microsoftDefenderForEndpoint |
Microsoft Defender for Endpoint。 |
microsoftDefenderForIdentity |
Microsoft Defender for Identity。 |
microsoftDefenderForCloudApps |
Microsoft Defender for Cloud Apps。 |
microsoftDefenderForOffice365 |
Microsoft Defender for Office365。 |
microsoft365Defender |
Microsoft 365 Defender。 |
azureAdIdentityProtection |
Microsoft Entra ID 保护。 |
microsoftAppGovernance |
Microsoft应用治理。 |
dataLossPrevention |
Microsoft Purview 数据丢失防护。 |
unknownFutureValue |
可演变枚举 sentinel 值。 请勿使用。 |
microsoftDefenderForCloud |
Microsoft Defender for Cloud。 |
microsoftSentinel |
Microsoft Sentinel。 |
detectionSource 值
值 |
说明 |
unknown |
未知的检测源。 |
microsoftDefenderForEndpoint |
Microsoft Defender for Endpoint。 |
防病毒 |
防病毒软件。 |
smartScreen |
Microsoft Defender SmartScreen。 |
customTi |
自定义威胁情报。 |
microsoftDefenderForOffice365 |
Microsoft Defender for Office 365。 |
automatedInvestigation |
自动调查。 |
microsoftThreatExperts |
Microsoft 威胁专家。 |
customDetection |
自定义检测。 |
microsoftDefenderForIdentity |
Microsoft Defender for Identity。 |
cloudAppSecurity |
云应用安全性。 |
microsoft365Defender |
Microsoft 365 Defender。 |
azureAdIdentityProtection |
Microsoft Entra ID 保护。 |
手动 |
手动检测。 |
microsoftDataLossPrevention |
Microsoft Purview 数据丢失防护。 |
appGovernancePolicy |
应用治理策略。 |
appGovernanceDetection |
应用治理检测。 |
unknownFutureValue |
可演变枚举 sentinel 值。 请勿使用。 |
microsoftDefenderForCloud |
Microsoft Defender for Cloud。 |
microsoftDefenderForIoT |
适用于 IoT 的 Microsoft Defender。 |
microsoftDefenderForServers |
Microsoft Defender for Servers。 |
microsoftDefenderForStorage |
Microsoft Defender for Storage。 |
microsoftDefenderForDNS |
Microsoft Defender for DNS。 |
microsoftDefenderForDatabases |
Microsoft Defender for Databases。 |
microsoftDefenderForContainers |
Microsoft Defender for Containers。 |
microsoftDefenderForNetwork |
Microsoft Defender for Network。 |
microsoftDefenderForAppService |
Microsoft Defender for App Service。 |
microsoftDefenderForKeyVault |
Microsoft Defender for Key Vault。 |
microsoftDefenderForResourceManager |
Microsoft Defender for Resource Manager。 |
microsoftDefenderForApiManagement |
Microsoft Defender for Api Management。 |
microsoftSentinel |
Microsoft Sentinel。 |
nrtAlerts |
Sentinel NRT 警报。 |
scheduledAlerts |
Sentinel 计划警报。 |
microsoftDefenderThreatIntelligenceAnalytics |
Sentinel 威胁情报警报。 |
builtInMl |
Sentinel 内置 ML。 |
关系
无。
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}