alertEvidence-Ressourcentyp
Namespace: microsoft.graph.security
Stellt Beweise im Zusammenhang mit einer Warnung dar.
Der alertEvidence-Basistyp und seine abgeleiteten Beweistypen bieten eine Möglichkeit, umfangreiche Daten zu jedem Artefakt zu organisieren und nachzuverfolgen, das an einer Warnung beteiligt ist. Beispielsweise kann eine Warnung über die IP-Adresse eines Angreifers, die sich mit einem kompromittierten Benutzerkonto bei einem Clouddienst anmeldet, die folgenden Beweise nachverfolgen:
-
IP-Nachweis mit den Rollen von
attackerundsource, Korrektur status vonrunningund Bewertung vonmalicious. -
Cloudanwendungsbeweis mit der
contextualRolle . -
Postfachbeweis für das gehackte Benutzerkonto mit der
compromisedRolle .
Diese Ressource ist der Basistyp für die folgenden Beweistypen:
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- iotDeviceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailClusterEvidence
- mailboxEvidence
- nicEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- urlEvidence
- userEvidence
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| createdDateTime | DateTimeOffset | Das Datum und die Uhrzeit, zu dem der Beweis erstellt und der Warnung hinzugefügt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. |
| detailedRoles | String collection | Ausführliche Beschreibung der Entitätsrollen in einer Warnung. Werte sind Freiform. |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | Status der durchgeführten Korrekturmaßnahme. Die möglichen Werte sind: none, remediated, prevented, blocked, notFound, , activeunknownFutureValue, pendingApproval, declined, unremediated, running, . partiallyRemediated Beachten Sie, dass Sie den Anforderungsheader Prefer: include-unknown-enum-members verwenden müssen, um die folgenden Werte aus dieser verteilbaren Enumeration abzurufen: active, pendingApproval, declined, unremediated, running, partiallyRemediated. |
| remediationStatusDetails | String | Details zur status. |
| roles | microsoft.graph.security.evidenceRole-Sammlung | Die Rollen, die eine Beweisentität in einer Warnung darstellt, z. B. eine IP-Adresse, die einem Angreifer zugeordnet ist, hat die Beweisrolle Angreifer. |
| tags | Zeichenfolgenauflistung | Array von benutzerdefinierten Tags, die einem Beweis zugeordnet instance, um z. B. eine Gruppe von Geräten, hochwertige Ressourcen usw. zu kennzeichnen. |
| Urteilsspruch | microsoft.graph.security.evidenceVerdict | Die Entscheidung, die durch automatisierte Untersuchung getroffen wurde. Mögliche Werte sind: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue. |
detectionSource-Werte
| Wert | Beschreibung |
|---|---|
| entdeckt | Ein Produkt der ausgeführten Bedrohung wurde erkannt. |
| gesperrt | Die Bedrohung wurde zur Laufzeit behoben. |
| verhinderte | Die Bedrohung wurde verhindert (Ausführen, Herunterladen usw.). |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
evidenceRemediationStatus-Werte
| Member | Beschreibung |
|---|---|
| keine | Es wurden keine Bedrohungen gefunden. |
| Wiederhergestellt | Die Wartungsaktion wurde erfolgreich abgeschlossen. |
| verhinderte | Die Bedrohung wurde an der Ausführung gehindert. |
| gesperrt | Die Bedrohung wurde während der Ausführung blockiert. |
| notFound | Der Beweis wurde nicht gefunden. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
| aktiv | Die Untersuchung wird ausgeführt/steht aus, und die Wartung ist noch nicht abgeschlossen. |
| pendingApproval | Die Korrekturaktion steht noch aus. |
| abgelehnt | Die Wiederherstellungsaktion wurde abgelehnt. |
| nicht vermittelt | Die Untersuchung macht die Wartung rückgängig, und die Entität wird wiederhergestellt. |
| Ausgeführte | Die Wartungsaktion wird ausgeführt. |
| partiallyRemediated | Die Bedrohung wurde teilweise remidiiert. |
evidenceRole-Werte
| Member | Beschreibung |
|---|---|
| unknown | Die Beweisrolle ist unbekannt. |
| kontextuell | Eine Entität, die wahrscheinlich gutartig aufgetreten ist, aber als Nebeneffekt der Aktion eines Angreifers gemeldet wurde. Beispielsweise wurde der gutartige services.exe Prozess verwendet, um einen schädlichen Dienst zu starten. |
| gescannt | Eine Entität, die als Ziel für Ermittlungsscans oder Reconnaissance-Aktionen identifiziert wird. Beispielsweise wurde ein Portscanner verwendet, um ein Netzwerk zu scannen. |
| source | Die Entität, von der die Aktivität stammt. Beispielsweise ein Gerät, ein Benutzer, eine IP-Adresse usw. |
| Bestimmungsort | Die Entität, an die die Aktivität gesendet wurde. Beispielsweise ein Gerät, ein Benutzer, eine IP-Adresse usw. |
| erstellt | Die Entität wurde als Ergebnis der Aktionen eines Angreifers erstellt. Beispielsweise wurde ein Benutzerkonto erstellt. |
| Hinzugefügt | Die Entität wurde als Ergebnis der Aktionen eines Angreifers hinzugefügt. Beispielsweise wurde einer Berechtigungsgruppe ein Benutzerkonto hinzugefügt. |
| kompromittiert | Die Entität wurde kompromittiert und befindet sich unter der Kontrolle eines Angreifers. Beispielsweise wurde ein Benutzerkonto kompromittiert und für die Anmeldung bei einem Clouddienst verwendet. |
| edited | Die Entität wurde von einem Angreifer bearbeitet oder geändert. Beispielsweise wurde der Registrierungsschlüssel für einen Dienst so bearbeitet, dass er auf den Speicherort einer neuen schädlichen Nutzlast verweist. |
| angegriffen | Die Entität wurde angegriffen. Beispielsweise wurde ein Gerät als Ziel für einen DDoS-Angriff verwendet. |
| Angreifer | Die Entität stellt den Angreifer dar. Beispielsweise hat die IP-Adresse des Angreifers die Anmeldung bei einem Clouddienst mit einem kompromittierten Benutzerkonto beobachtet. |
| commandAndControl | Die Entität wird für Befehle und Steuerungen verwendet. Beispielsweise eine C2-Domäne (Befehls- und Steuerungsdomäne), die von Schadsoftware verwendet wird. |
| geladen | Die Entität wurde von einem Prozess unter der Kontrolle eines Angreifers geladen. Beispielsweise wurde eine DLL in einen prozessgesteuerten Prozess geladen. |
| argwöhnisch | Die Entität wird verdächtigt, böswillig zu sein oder von einem Angreifer kontrolliert zu werden, wurde aber nicht inkriminiert. |
| policyViolator | Die Entität ist ein Verstoß gegen eine kundendefinierte Richtlinie. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
evidenceVerdict-Werte
| Member | Beschreibung |
|---|---|
| unknown | Für die Beweise wurde kein Urteil festgestellt. |
| argwöhnisch | Empfohlene Wartungsaktionen, die auf die Genehmigung warten. |
| böswillig | Die Beweise wurden als böswillig eingestuft. |
| noThreatsFound | Es wurde keine Bedrohung erkannt - die Beweise sind gutartig. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung veranschaulicht den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}