Partager via


type de ressource d’alerte (déconseillé)

Espace de noms: microsoft.graph

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Remarque

L’API d’alertes héritées est déconseillée et sera supprimée d’ici avril 2026. Nous vous recommandons de migrer vers la nouvelle API d’alertes et d’incidents .

Cette ressource correspond à la première génération d’alertes dans l’API de sécurité Microsoft Graph, représentant des problèmes de sécurité potentiels au sein du locataire d’un client identifiés par Microsoft ou une solution de sécurité partenaire.

Ce type d’alertes fédère l’appel des fournisseurs de sécurité Azure et Microsoft 365 Defender pris en charge répertoriés dans Utiliser l’API de sécurité Microsoft Graph. Il regroupe les données d’alerte courantes entre les différents domaines pour permettre aux applications d’unifier et de simplifier la gestion des problèmes de sécurité dans toutes les solutions intégrées.

Pour plus d’informations, voir les exemples de requêtes dans l’Explorateur Graph.

Remarque

Cette ressource est l’un des deux types d’alertes qu’offre la version bêta de l’API de sécurité Microsoft Graph. Pour plus d’informations, consultez alertes.

Méthodes

Méthode Type renvoyé Description
Obtenir une alerte alert Lire les propriétés et les relations d’un objet alerte.
Mettre à jour une alerte alert Mettre à jour un objet alerte.
Répertorier les alertes collectionalert Obtient une collection d’objets alerte.
Mettre à jour plusieurs alertes collectionalert Mettre à jour plusieurs objets d’alerte.

Propriétés

Propriété Type Description
activityGroupName Chaîne Nom ou alias du groupe activité (utilisateur malveillant) auquel cette alerte est attribuée.
assignedTo String Nom de l’analyste auquel l’alerte est affectée pour tri, examen ou remédiation (prend en charge mettre à jour).
azureSubscriptionId Chaîne ID de l’abonnement Azure, présent si cette alerte est liée à une ressource Azure.
azureTenantId Chaîne Microsoft Entra l’ID de locataire. Obligatoire.
category String Catégorie de l’alerte (par exemple, credentialTheft, ransomware).
closedDateTime DateTimeOffset Heure à laquelle l’alerte a été fermée. Le type Horodatage représente les informations de date et d’heure au moyen du format ISO 8601 et est toujours indiqué au format UTC. Par exemple, le 1er janvier 2014 à minuit UTC est représenté comme suit : 2014-01-01T00:00:00Z (mise à jour prise en charge).
cloudAppStates CollectioncloudAppSecurityState Informations de sécurité générées par le fournisseur sur l’application/s cloud liée à cette alerte.
commentaires Collection de chaîne Commentaires client fournis sur alerte (pour la gestion alerte client) (prend en charge mise à jour).
confiance Int32 Confiance de la logique de détection (pourcentage entre 1 et 100).
createdDateTime DateTimeOffset Heure à laquelle l’alerte a été créé par le fournisseur d’alerte. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. Obligatoire.
description String Description de l’alerte.
detectionIds Collection de chaîne Ensemble d’alertes relatives à cette entité alerte (chaque alerte est transmise au SIEM comme enregistrement séparé).
eventDateTime DateTimeOffset Heure à laquelle l’événement ou les événements qui ont servi de déclencheur pour générer l’alerte se sont produits. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. Obligatoire.
commentaires alertFeedback Commentaires analyste sur l’alerte. Les valeurs possibles sont les suivantes : unknown, truePositive, falsePositive, benignPositive. Prend en charge la mise à jour.
fileStates collectionfileSecurityState Informations de sécurité générées par le fournisseur sur le(s) fichier(s) lié(s) à cette alerte.
historyStates collection alertHistoryState Collection de alertHistoryStates comprenant un journal d’audit de toutes les mises à jour apportées à une alerte.
hostStates collectionhostSecurityState Informations de sécurité générées par le fournisseur sur l’hôte(s) lié(s) à cette alerte.
id String Identificateur unique/GUID généré par le fournisseur. En lecture seule. Obligatoire.
incidentIds String collection IDs des incidents liés à l’alerte actuelle.
lastModifiedDateTime DateTimeOffset Heure à laquelle l’entité alerte a été modifié en dernier. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z.
malwareStates collectionmalwareState Veille contre les menaces relatives aux programmes malveillants liés à cette alerte.
networkConnections collectionnetworkConnection Informations de sécurité générées par le fournisseur sur la connexion réseau liée à cette alerte.
Processus collectionprocessus Informations de sécurité générées par le fournisseur sur le(s) processus lié(s) à cette alerte.
recommendedActions Collection de chaîne Action(s) recommandée(s) vendeur/fournisseur suite à l’alerte (par exemple, machine isoler, enforce2FA, créer nouvelle image).
registryKeyStates collectionregistryKeyState Informations de sécurité générées par le fournisseur sur les clés de registre liées à cette alerte.
securityResources colldectkion securityResource Ressources liées à l’alerte actuelle. Par exemple, pour certaines alertes, cette valeur peut avoir la valeur Ressource Azure.
Sévérité alertSeverity Gravité d’alerte - définie par vendeur/fournisseur. Les valeurs possibles sont les suivantes : unknown, informational, low, medium, high. Obligatoire.
sourceMaterials Collection de chaîne Liens hypertexte (URI) vers le matériel source lié à l’alerte, par exemple l’interface utilisateur du fournisseur pour les alertes ou la recherche dans les journaux.
statut alertStatus État d’alerte sur le cycle de vie (étape). Les valeurs possibles sont les suivantes : unknown, newAlert, inProgress, resolved. (prend en charge mettre à jour) Obligatoire.
étiquettes Collection de chaînes Étiquettes définissables par l’utilisateur qui peuvent être appliquées à une alerte et peuvent servir de conditions de filtre (par exemple, « HVA », « SAW ») (prend en charge la mise à jour).
title String Titre de l’alerte. Obligatoire.
Déclencheurs collectionalertTrigger Informations de sécurité sur les propriétés spécifiques qui ont déclenché l’alerte (propriétés s’affichant dans l’alerte). Les alertes peuvent contenir des informations sur plusieurs utilisateurs, hosts, fichiers, adresses ip. Ce champ indique quelles propriétés déclenchent la génération d’alerte.
userStates collectionuserSecurityState Informations de sécurité générées par le fournisseur sur les comptes utilisateurs liés à cette alerte.
vendorInformation securityVendorInformation Type complexe contenant des détails sur le fournisseur produit/service de sécurité, le fournisseur et sous-fournisseur (par exemple, vendeur = Microsoft ; fournisseur = Windows Defender ATP ; sous-fournisseur = AppLocker). Obligatoire.
vulnerabilityStates collectionvulnerabilityState Veille contre les menaces relatives à une ou plus vulnérabilités liées à cette alerte.

Relations

Aucun.

Représentation JSON

La représentation JSON suivante montre le type de ressource.

{
  "activityGroupName": "String",
  "assignedTo": "String",
  "azureSubscriptionId": "String",
  "azureTenantId": "String",
  "category": "String",
  "closedDateTime": "String (timestamp)",
  "cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
  "comments": ["String"],
  "confidence": 1024,
  "createdDateTime": "String (timestamp)",
  "description": "String",
  "detectionIds": ["String"],
  "eventDateTime": "String (timestamp)",
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
  "historyStates": [{"@odata.type": "microsoft.graph.alertHistoryState"}],
  "hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
  "id": "String (identifier)",
  "incidentIds": ["String"],
  "lastModifiedDateTime": "String (timestamp)",
  "malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
  "networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
  "processes": [{"@odata.type": "microsoft.graph.process"}],
  "recommendedActions": ["String"],
  "registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
  "securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "sourceMaterials": ["String"],
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": ["String"],
  "title": "String",
  "triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
  "userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
  "vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
  "vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}