Type de ressource alertEvidence
Espace de noms : microsoft.graph.security
Importante
Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Représente une preuve liée à une alerte.
Le type de base alertEvidence et ses types de preuves dérivés fournissent un moyen d’organiser et de suivre des données enrichies sur chaque artefact impliqué dans une alerte. Par exemple, une alerte concernant l’adresse IP d’un attaquant se connectant à un service cloud à l’aide d’un compte d’utilisateur compromis peut suivre les preuves suivantes :
-
Preuve IP avec les rôles de
attackeretsource, état de correction derunninget verdict demalicious. -
Preuve d’application cloud avec un rôle de
contextual. -
Preuve de boîte aux lettres pour le compte d’utilisateur piraté avec un rôle de
compromised.
Cette ressource est le type de base pour les types de preuves suivants :
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailClusterEvidence
- mailboxEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- urlEvidence
- userEvidence
Propriétés
| Propriété | Type | Description |
|---|---|---|
| createdDateTime | DateTimeOffset | Date et heure auxquelles la preuve a été créée et ajoutée à l’alerte. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. |
| detailedRoles | String collection | Description détaillée du ou des rôles d’entité dans une alerte. Les valeurs sont de forme libre. |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | État de l’action de correction effectuée. Les valeurs possibles sont none, remediated, prevented, blocked, notFound, unknownFutureValue. |
| remediationStatusDetails | Chaîne | Détails sur l’état de la correction. |
| rôles | collection microsoft.graph.security.evidenceRole | Le ou les rôles qu’une entité de preuve représente dans une alerte, par exemple, une adresse IP associée à un attaquant a le rôle de preuve Attaquant. |
| étiquettes | String collection | Tableau d’étiquettes personnalisées associées à une instance de preuve, par exemple, pour désigner un groupe d’appareils, des ressources de valeur élevée, etc. |
| Verdict | microsoft.graph.security.evidenceVerdict | Décision prise par une enquête automatisée. Les valeurs possibles sont : unknown, suspicious, malicious, noThreatsFound, unknownFutureValue. |
valeurs detectionSource
| Valeur | Description |
|---|---|
| Détecté | Un produit de la menace exécutée a été détecté. |
| Bloqué | La menace a été corrigée au moment de l’exécution. |
| Empêché | La menace n’a pas pu se produire (exécution, téléchargement, etc.). |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs evidenceRemediationStatus
| Member | Description |
|---|---|
| none | Aucune menace n’a été trouvée. |
| corrigé | L’action de correction s’est terminée avec succès. |
| Empêché | L’exécution de la menace a été empêchée. |
| Bloqué | La menace a été bloquée lors de l’exécution. |
| Notfound | La preuve n’a pas été trouvée. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs evidenceRole
| Member | Description |
|---|---|
| unknown | Le rôle de preuve est inconnu. |
| Contextuelle | Une entité qui est apparue probablement sans gravité, mais qui a été signalée comme un effet secondaire de l’action d’un attaquant, par exemple, le processus de services.exe sans gravité a été utilisé pour démarrer un service malveillant. |
| Scanné | Entité identifiée comme cible d’une analyse de découverte ou d’actions de reconnaissance, par exemple, un scanneur de ports a été utilisé pour analyser un réseau. |
| source | Entité dont l’activité provient, par exemple, appareil, utilisateur, adresse IP, etc. |
| Destination | Entité à laquelle l’activité a été envoyée, par exemple, appareil, utilisateur, adresse IP, etc. |
| créé | L’entité a été créée à la suite des actions d’un attaquant, par exemple, un compte d’utilisateur a été créé. |
| ajouté | L’entité a été ajoutée à la suite des actions d’un attaquant. Par exemple, un compte d’utilisateur a été ajouté à un groupe d’autorisations. |
| Compromis | L’entité a été compromise et est sous le contrôle d’un attaquant. Par exemple, un compte d’utilisateur a été compromis et utilisé pour se connecter à un service cloud. |
| modifié | L’entité a été modifiée ou modifiée par un attaquant. Par exemple, la clé de Registre d’un service a été modifiée pour pointer vers l’emplacement d’une nouvelle charge utile malveillante. |
| Attaqué | L’entité a été attaquée. Par exemple, un appareil a été ciblé par une attaque DDoS. |
| Attaquant | L’entité représente l’attaquant. Par exemple, l’adresse IP de l’attaquant a observé la connexion à un service cloud à l’aide d’un compte d’utilisateur compromis. |
| commandAndControl | L’entité est utilisée pour la commande et le contrôle. Par exemple, un domaine C2 (commande et contrôle) utilisé par un programme malveillant. |
| Chargé | L’entité a été chargée par un processus sous le contrôle d’un attaquant. Par exemple, une dll a été chargée dans un processus contrôlé par un attaquant. |
| Suspect | L’entité est soupçonnée d’être malveillante ou contrôlée par un attaquant, mais elle n’a pas été incriminée. |
| policyViolator | L’entité est un contrevenant d’une stratégie définie par le client. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs evidenceRemediationStatus
| Member | Description |
|---|---|
| unknown | Aucun verdict n’a été rendu pour la preuve. |
| Suspect | Actions de correction recommandées en attente d’approbation. |
| Malveillants | La preuve a été jugée malveillante. |
| Propre | Aucune menace n’a été détectée - la preuve est sans gravité. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Valeurs evidenceVerdict
| Member | Description |
|---|---|
| unknown | Aucun verdict n’a été rendu pour la preuve. |
| Suspect | Actions de correction recommandées en attente d’approbation. |
| Malveillants | La preuve a été jugée malveillante. |
| noThreatsFound | Aucune menace n’a été détectée - la preuve est sans gravité. |
| unknownFutureValue | Valeur sentinel de l’énumération évolutive. Ne pas utiliser. |
Relations
Aucun.
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}