Freigeben über


alertEvidence-Ressourcentyp

Namespace: microsoft.graph.security

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Stellt Beweise im Zusammenhang mit einer Warnung dar.

Der alertEvidence-Basistyp und seine abgeleiteten Beweistypen bieten eine Möglichkeit, umfangreiche Daten zu jedem Artefakt zu organisieren und nachzuverfolgen, das an einer Warnung beteiligt ist. Beispielsweise kann eine Warnung über die IP-Adresse eines Angreifers, die sich mit einem kompromittierten Benutzerkonto bei einem Clouddienst anmeldet, die folgenden Beweise nachverfolgen:

Diese Ressource ist der Basistyp für die folgenden Beweistypen:

Eigenschaften

Eigenschaft Typ Beschreibung
createdDateTime DateTimeOffset Das Datum und die Uhrzeit, zu dem der Beweis erstellt und der Warnung hinzugefügt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z.
detailedRoles String collection Ausführliche Beschreibung der Entitätsrollen in einer Warnung. Werte sind Freiform.
remediationStatus microsoft.graph.security.evidenceRemediationStatus Status der durchgeführten Korrekturmaßnahme. Mögliche Werte sind: none, remediated, prevented, blocked, notFound, unknownFutureValue.
remediationStatusDetails Zeichenfolge Details zum Wartungsstatus.
roles microsoft.graph.security.evidenceRole-Sammlung Die Rollen, die eine Beweisentität in einer Warnung darstellt, z. B. eine IP-Adresse, die einem Angreifer zugeordnet ist, hat die Beweisrolle Angreifer.
tags Zeichenfolgenauflistung Array von benutzerdefinierten Tags, die einer Beweisinstanz zugeordnet sind, z. B. zum Bezeichnen einer Gruppe von Geräten, hochwertigen Ressourcen usw.
Urteil microsoft.graph.security.evidenceVerdict Die Entscheidung, die durch automatisierte Untersuchung getroffen wurde. Mögliche Werte sind: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue.

detectionSource-Werte

Wert Beschreibung
Erkannt Ein Produkt der ausgeführten Bedrohung wurde erkannt.
Blockiert Die Bedrohung wurde zur Laufzeit behoben.
Verhindert Die Bedrohung wurde verhindert (Ausführen, Herunterladen usw.).
unknownFutureValue Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

evidenceRemediationStatus-Werte

Member Beschreibung
keine Es wurden keine Bedrohungen gefunden.
Wiederhergestellt Die Wartungsaktion wurde erfolgreich abgeschlossen.
Verhindert Die Bedrohung wurde an der Ausführung gehindert.
Blockiert Die Bedrohung wurde während der Ausführung blockiert.
Notfound Der Beweis wurde nicht gefunden.
unknownFutureValue Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

evidenceRole-Werte

Member Beschreibung
unknown Die Beweisrolle ist unbekannt.
Kontextbezogene Eine Entität, die wahrscheinlich gutartig aufgetreten ist, aber als Nebeneffekt der Aktion eines Angreifers gemeldet wurde, z. B. wurde der gutartige services.exe Prozess verwendet, um einen schädlichen Dienst zu starten.
Gescannt Eine Entität, die als Ziel von Ermittlungs- oder Reconnaissance-Aktionen identifiziert wurde, z. B. ein Portscanner, um ein Netzwerk zu scannen.
source Die Entität, von der die Aktivität stammt, z. B. Gerät, Benutzer, IP-Adresse usw.
Ziel Die Entität, an die die Aktivität gesendet wurde, z. B. Gerät, Benutzer, IP-Adresse usw.
erstellt Die Entität wurde als Ergebnis der Aktionen eines Angreifers erstellt, z. B. wurde ein Benutzerkonto erstellt.
Hinzugefügt Die Entität wurde als Ergebnis der Aktionen eines Angreifers hinzugefügt. Beispielsweise wurde einer Berechtigungsgruppe ein Benutzerkonto hinzugefügt.
Gefährdet Die Entität wurde kompromittiert und befindet sich unter der Kontrolle eines Angreifers. Beispielsweise wurde ein Benutzerkonto kompromittiert und für die Anmeldung bei einem Clouddienst verwendet.
edited Die Entität wurde von einem Angreifer bearbeitet oder geändert. Beispielsweise wurde der Registrierungsschlüssel für einen Dienst so bearbeitet, dass er auf den Speicherort einer neuen schädlichen Nutzlast verweist.
Angegriffen Die Entität wurde angegriffen. Beispielsweise wurde ein Gerät als Ziel für einen DDoS-Angriff verwendet.
Angreifer Die Entität stellt den Angreifer dar. Beispielsweise hat die IP-Adresse des Angreifers die Anmeldung bei einem Clouddienst mit einem kompromittierten Benutzerkonto beobachtet.
commandAndControl Die Entität wird für Befehle und Steuerungen verwendet. Beispielsweise eine C2-Domäne (Befehls- und Steuerungsdomäne), die von Schadsoftware verwendet wird.
Geladen Die Entität wurde von einem Prozess unter der Kontrolle eines Angreifers geladen. Beispielsweise wurde eine DLL in einen prozessgesteuerten Prozess geladen.
Verdächtige Die Entität wird verdächtigt, böswillig zu sein oder von einem Angreifer kontrolliert zu werden, wurde aber nicht inkriminiert.
policyViolator Die Entität ist ein Verstoß gegen eine kundendefinierte Richtlinie.
unknownFutureValue Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

evidenceRemediationStatus-Werte

Member Beschreibung
unknown Für die Beweise wurde kein Urteil festgestellt.
Verdächtige Empfohlene Wartungsaktionen, die auf die Genehmigung warten.
Bösartige Die Beweise wurden als böswillig eingestuft.
Sauber Es wurde keine Bedrohung erkannt - die Beweise sind gutartig.
unknownFutureValue Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

evidenceVerdict-Werte

Member Beschreibung
unknown Für die Beweise wurde kein Urteil festgestellt.
Verdächtige Empfohlene Wartungsaktionen, die auf die Genehmigung warten.
Bösartige Die Beweise wurden als böswillig eingestuft.
noThreatsFound Es wurde keine Bedrohung erkannt - die Beweise sind gutartig.
unknownFutureValue Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden.

Beziehungen

Keine.

JSON-Darstellung

Die folgende JSON-Darstellung zeigt den Ressourcentyp.

{
  "@odata.type": "#microsoft.graph.security.alertEvidence",
  "createdDateTime": "String (timestamp)",
  "verdict": "String",
  "remediationStatus": "String",
  "remediationStatusDetails": "String",
  "roles": [
    "String"
  ],
  "detailedRoles": [
    "String"
  ],
  "tags": [
    "String"
  ]
}