alertEvidence 资源类型
命名空间:microsoft.graph.security
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
表示与 警报相关的证据。
alertEvidence 基类型及其派生的证据类型提供了一种方法来组织和跟踪警报中涉及的每个项目的丰富数据。 例如,有关攻击者使用泄露用户帐户登录到云服务的 IP 地址的 警报 可以跟踪以下证据:
- 具有 和
source角色的attackerIP 证据、修正running状态和 的判决malicious。 - 角色为 的
contextual云应用程序证据。 - 角色为 的被黑客攻击用户帐户的
compromised邮箱证据。
此资源是以下证据类型的基类型:
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- iotDeviceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailClusterEvidence
- mailboxEvidence
- nicEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- urlEvidence
- userEvidence
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| createdDateTime | DateTimeOffset | 创建证据并将其添加到警报的日期和时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 |
| detailedRoles | 字符串集合 | 警报中实体角色的详细说明。 值是自由格式的。 |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | 已采取的修正操作的状态。 可能的值为:none、、preventedremediated、unknownFutureValuependingApprovalactiveblockednotFounddeclined、unremediated、running、 。 partiallyRemediated 请注意,必须使用Prefer: include-unknown-enum-members请求标头从此可演变枚举中获取以下值:active、、pendingApproval、declined、unremediatedrunning、。 partiallyRemediated |
| remediationStatusDetails | String | 有关修正状态的详细信息。 |
| roles | microsoft.graph.security.evidenceRole 集合 | 证据实体在警报中表示的角色,例如,与攻击者关联的 IP 地址具有“ 攻击者”证据“角色。 |
| tags | 字符串集合 | 与证据实例关联的自定义标记数组,例如,用于表示一组设备、高价值资产等。 |
| 判决 | microsoft.graph.security.evidenceVerdict | 自动调查所做出的决定。 可能的值包括 unknown、suspicious、malicious、noThreatsFound、unknownFutureValue。 |
detectionSource 值
| 值 | 说明 |
|---|---|
| 检测 | 检测到已执行的威胁的乘积。 |
| 封锁 | 威胁在运行时已修正。 |
| 阻止 | (运行、下载等 ) ,阻止了威胁的发生。 |
| unknownFutureValue | 可演变枚举 sentinel 值。 请勿使用。 |
evidenceRemediationStatus 值
| 成员 | 说明 |
|---|---|
| 无 | 未发现任何威胁。 |
| 已修正 | 修正操作已成功完成。 |
| 阻止 | 威胁被阻止执行。 |
| 封锁 | 执行时威胁被阻止。 |
| notFound | 没有找到证据。 |
| unknownFutureValue | 可演变枚举 sentinel 值。 请勿使用。 |
| 积极 | 调查正在运行/挂起,修正尚未完成。 |
| pendingApproval | 修正操作正在等待审批。 |
| 拒绝 | 修正操作被拒绝。 |
| 未修正 | 调查撤消修正并恢复实体。 |
| 运行 | 修正操作正在运行。 |
| partiallyRemediated | 威胁部分重新化。 |
evidenceRole 值
| 成员 | 说明 |
|---|---|
| unknown | 证据角色未知。 |
| 语境 | 一个可能为良性的实体,但被报告为攻击者操作的副作用,例如,良性 services.exe 进程用于启动恶意服务。 |
| 扫描 | 标识为发现扫描或侦察操作目标的实体,例如,端口扫描程序用于扫描网络。 |
| source | 活动源自的实体,例如设备、用户、IP 地址等。 |
| 目的地 | 活动发送到的实体,例如设备、用户、IP 地址等。 |
| 已创建 | 实体是攻击者操作的结果创建的,例如,创建了用户帐户。 |
| 添加内容 | 实体是攻击者操作的结果添加的。 例如,用户帐户已添加到权限组。 |
| 妥协 | 实体已遭到入侵,并受到攻击者的控制。 例如,用户帐户遭到入侵,并用于登录到云服务。 |
| 已编辑 | 该实体已被攻击者编辑或更改。 例如,已将服务的注册表项编辑为指向新恶意有效负载的位置。 |
| 攻击 | 实体受到攻击。 例如,设备成为 DDoS 攻击的目标。 |
| 攻击者 | 实体表示攻击者。 例如,攻击者的 IP 地址观察到使用泄露的用户帐户登录到云服务。 |
| commandAndControl | 实体用于命令和控制。 例如,C2 (命令和控制恶意软件使用的域) 。 |
| 加载 | 实体是由攻击者控制下的进程加载的。 例如,Dll 已加载到攻击者控制的进程中。 |
| 可疑 | 该实体被怀疑为恶意或被攻击者控制,但尚未被定罪。 |
| policyViolator | 实体违反了客户定义的策略。 |
| unknownFutureValue | 可演变枚举 sentinel 值。 请勿使用。 |
evidenceVerdict 值
| 成员 | 说明 |
|---|---|
| unknown | 没有确定证据的判决。 |
| 可疑 | 等待审批的建议修正操作。 |
| 恶意 | 证据被确定为恶意证据。 |
| noThreatsFound | 未检测到威胁 - 证据是良性的。 |
| unknownFutureValue | 可演变枚举 sentinel 值。 请勿使用。 |
关系
无。
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}