Compartilhar via


tipo de alerta do recurso

Espaço de nomes: microsoft.graph.security

Este recurso corresponde ao lote mais recente de alertas gerados pela API de segurança do Microsoft Graph. Este recurso representa potenciais problemas de segurança no inquilino de um cliente que o Microsoft 365 Defender, ou um fornecedor de segurança integrado com o Microsoft 365 Defender, identificou.

Quando um fornecedor de segurança deteta uma ameaça, cria um alerta no sistema. O Microsoft 365 Defender extrai estes dados de alerta do fornecedor de segurança e consome os dados de alerta para devolver pistas valiosas num recurso de alerta sobre qualquer ataque relacionado, recursos afetados e provas associadas. Correlaciona automaticamente outros alertas com as mesmas técnicas de ataque ou com o mesmo atacante num incidente para fornecer um contexto mais amplo de um ataque. Agregar alertas dessa maneira ajuda os analistas a investigar e responder a ameaças coletivamente.

Observação

Este recurso é um dos dois tipos de alertas que a versão v1.0 da API de segurança do Microsoft Graph oferece. Para obter mais informações, veja alertas.

Métodos

Método Tipo de retorno Descrição
List coleção microsoft.graph.security.alert Obtenha uma lista de recursos de alerta criados para controlar atividades suspeitas numa organização.
Get microsoft.graph.security.alert Obtenha as propriedades de um objeto de alerta numa organização com base na propriedade do ID de alerta especificada.
Atualizar microsoft.graph.security.alert Atualize as propriedades de um objeto de alerta numa organização com base na propriedade do ID de alerta especificada.
Criar comentário alertComment Crie um comentário para um alerta existente com base na propriedade ID de alerta especificada.

Propriedades

Propriedade Tipo Descrição
actorDisplayName Cadeia de caracteres O adversário ou grupo de atividade que está associado a este alerta.
additionalData microsoft.graph.security.dictionary Uma coleção de outras propriedades de alerta, incluindo propriedades definidas pelo utilizador. Todos os detalhes personalizados definidos no alerta e qualquer conteúdo dinâmico nos detalhes do alerta são armazenados aqui.
alertPolicyId Cadeia de caracteres O ID da política que gerou o alerta e preenchido quando existe uma política específica que gerou o alerta, quer seja configurado por um cliente ou por uma política incorporada.
alertWebUrl Cadeia de caracteres URL da página de alerta do portal do Microsoft 365 Defender.
assignedTo Cadeia de caracteres Proprietário do alerta ou nulo se não for atribuído nenhum proprietário.
category Cadeia de caracteres A categoria de cadeia de eliminação de ataques à qual o alerta pertence. Alinhado com a arquitetura MITRE ATT&CK.
classificação microsoft.graph.security.alertClassification Especifica se o alerta representa uma ameaça verdadeira. Os valores possíveis são: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
comentários coleção microsoft.graph.security.alertComment Matriz de comentários criados pela equipa de Operações de Segurança (SecOps) durante o processo de gestão de alertas.
createdDateTime DateTimeOffset Hora em que o Microsoft 365 Defender criou o alerta.
description Cadeia de caracteres Valor da cadeia que descreve cada alerta.
detectionSource microsoft.graph.security.detectionSource Tecnologia ou sensor de deteção que identificou o componente ou atividade notável. Os valores possíveis são: unknown, , microsoftDefenderForEndpoint, smartScreenantivirus, customTi, microsoftDefenderForOffice365, microsoftThreatExpertsautomatedInvestigation, customDetection, microsoftDefenderForIdentity, cloudAppSecurity, , manualappGovernanceDetectionmicrosoftDataLossPreventionazureAdIdentityProtectionunknownFutureValueappGovernancePolicymicrosoft365Defender, microsoftDefenderForCloudmicrosoftDefenderForIoTmicrosoftDefenderForServers, microsoftDefenderForContainersmicrosoftDefenderForDNSmicrosoftDefenderForDatabasesmicrosoftDefenderForStorage, microsoftDefenderForNetwork, microsoftDefenderForAppService, microsoftDefenderForKeyVault, microsoftDefenderForResourceManagermicrosoftDefenderForApiManagement, nrtAlertsscheduledAlertsmicrosoftSentinel, . builtInMlmicrosoftDefenderThreatIntelligenceAnalytics Tem de utilizar o cabeçalho do Prefer: include-unknown-enum-members pedido para obter os seguintes valores nesta enumeração evoluível: microsoftDefenderForCloud, , microsoftDefenderForIoT, microsoftDefenderForServers, microsoftDefenderForStoragemicrosoftDefenderForDNS, , microsoftDefenderForDatabases, microsoftDefenderForContainersmicrosoftDefenderForNetwork, microsoftDefenderForAppService, , microsoftDefenderForKeyVault, microsoftDefenderForResourceManager, , microsoftDefenderForApiManagement, microsoftSentinel, , nrtAlerts, scheduledAlerts, microsoftDefenderThreatIntelligenceAnalytics. builtInMl
detectorId Cadeia de caracteres O ID do detetor que acionou o alerta.
determinação microsoft.graph.security.alertDetermination Especifica o resultado da investigação, se o alerta representa um ataque verdadeiro e, em caso afirmativo, a natureza do ataque. Os valores possíveis são: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue.
provas coleção microsoft.graph.security.alertEvidence Recolha de provas relacionadas com o alerta.
firstActivityDateTime DateTimeOffset A atividade mais antiga associada ao alerta.
id Cadeia de caracteres Identificador exclusivo para representar o recurso de alerta .
incidentId Cadeia de caracteres Identificador exclusivo para representar o incidente ao qual este recurso de alerta está associado.
incidentWebUrl Cadeia de caracteres URL da página do incidente no portal do Microsoft 365 Defender.
lastActivityDateTime DateTimeOffset A atividade mais antiga associada ao alerta.
lastUpdateDateTime DateTimeOffset Hora em que o alerta foi atualizado pela última vez no Microsoft 365 Defender.
mitreTechniques Collection(Edm.String) As técnicas de ataque, alinhadas com a arquitetura MITRE ATT&CK.
productName Cadeia de caracteres O nome do produto que publicou este alerta.
providerAlertId Cadeia de caracteres O ID do alerta tal como aparece no produto do fornecedor de segurança que gerou o alerta.
recommendedActions Cadeia de caracteres Ações de resposta e remediação recomendadas a realizar no caso de este alerta ter sido gerado.
resolvedDateTime DateTimeOffset Hora em que o alerta foi resolvido.
serviceSource microsoft.graph.security.serviceSource O serviço ou produto que criou este alerta. Os valores possíveis são: unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud, microsoftSentinel. Tem de utilizar o cabeçalho do Prefer: include-unknown-enum-members pedido para obter os seguintes valores nesta enumeração evoluível: microsoftDefenderForCloud, microsoftSentinel.
severity microsoft.graph.security.alertSeverity Indica o possível impacto nos recursos. Quanto maior for a gravidade, maior será o impacto. Normalmente, os itens de gravidade mais elevados requerem a atenção mais imediata. Os possíveis valores são: unknown, informational, low, medium, high, unknownFutureValue.
status microsoft.graph.security.alertStatus O estado do alerta. Os valores possíveis são: new, inProgress, resolved, unknownFutureValue.
tenantId String O inquilino do Microsoft Entra no qual o alerta foi criado.
threatDisplayName Cadeia de caracteres A ameaça associada a este alerta.
threatFamilyName Cadeia de caracteres Família de ameaças associada a este alerta.
title Cadeia de caracteres Breve identificação do valor da cadeia que descreve o alerta.
systemTags Coleção de cadeias de caracteres As etiquetas de sistema associadas ao alerta.

valores alertClassification

Member Descrição
desconhecido O alerta ainda não está classificado.
falsePositive O alerta é um falso positivo e não detetou atividades maliciosas.
truePositive O alerta é verdadeiro positivo e detetou atividade maliciosa.
informationalExpectedActivity O alerta é positivo benigno e detetou atividade potencialmente maliciosa por um utilizador fidedigno/interno, por exemplo, testes de segurança.
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.

valores alertDetermination

Member Descrição
desconhecido Ainda não foi definido nenhum valor de determinação.
apt Um verdadeiro alerta positivo que detetou uma ameaça persistente avançada.
malware Um verdadeiro alerta positivo que detetou software malicioso.
pessoal de segurança Um verdadeiro alerta positivo que detetou uma atividade suspeita válida que alguém da equipa de segurança do cliente realizou.
securityTesting O alerta detetou atividades suspeitas válidas que foram realizadas como parte de um teste de segurança conhecido.
unwantedSoftware O alerta detetou software indesejado.
outro Outra determinação.
multiStagedAttack Um verdadeiro alerta positivo que detetou várias fases de ataque da cadeia de eliminação.
compromisedAccount Um verdadeiro alerta positivo que detetou que as credenciais do utilizador pretendido foram comprometidas ou roubadas.
phishing Um verdadeiro alerta positivo que detetou um e-mail de phishing.
maliciousUserActivity Um verdadeiro alerta positivo que detetou que o utilizador com sessão iniciada executa atividades maliciosas.
notMalicious Um alerta falso, sem atividade suspeita.
notEnoughDataToValidate Um alerta falso, sem informações suficientes para provar o contrário.
confirmedActivity O alerta captou uma atividade suspeita verdadeira que é considerada OK porque é uma atividade de utilizador conhecida.
lineOfBusinessApplication O alerta captou uma atividade suspeita verdadeira que é considerada OK porque é uma aplicação interna conhecida e confirmada.
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.

alertSeverity values (valores alertSeverity)

Member Descrição
desconhecido Gravidade desconhecida.
informativo Alertas que podem não ser acionáveis ou considerados prejudiciais para a rede, mas que podem impulsionar a deteção de segurança organizacional sobre potenciais problemas de segurança.
low Alertas sobre ameaças associadas a software maligno predominante. Por exemplo, ferramentas de hack, ferramentas de hack nãomalware, como executar comandos de exploração e limpar registos, que muitas vezes não indicam uma ameaça avançada que visa a organização. Também pode ser proveniente de uma ferramenta de segurança isolada que um utilizador na sua organização está a testar.
medium Alertas gerados a partir de deteções e comportamentos pós-falha de resposta que podem fazer parte de uma ameaça persistente avançada (APT). Este nível de gravidade inclui comportamentos observados típicos de fases de ataque, alteração anómalo do registo, execução de ficheiros suspeitos, etc. Embora alguns possam dever-se a testes de segurança internos, são deteções válidas e requerem investigação, uma vez que podem fazer parte de um ataque avançado.
high Alertas normalmente vistos associados a ameaças persistentes avançadas (APT). Estes alertas indicam um risco elevado devido à gravidade dos danos que podem infligir aos recursos. Alguns exemplos são: atividades de ferramentas de roubo de credenciais, atividades de ransomware não associadas a nenhum grupo, adulteração de sensores de segurança ou quaisquer atividades maliciosas indicativas de um adversário humano.
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.

valores alertStatus

Member Descrição
desconhecido Estado desconhecido.
Novo Novo alerta.
inProgress O alerta está em curso de mitigação.
resolvido O alerta está no estado resolvido.
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.

valores de serviceSource

Valor Descrição
desconhecido Origem de serviço desconhecida.
microsoftDefenderForEndpoint Microsoft Defender para Ponto de Extremidade.
microsoftDefenderForIdentity Microsoft Defender para Identidade.
microsoftDefenderForCloudApps Microsoft Cloud App Security.
microsoftDefenderForOffice365 Microsoft Defender para Office365.
microsoft365Defender Microsoft 365 Defender.
azureAdIdentityProtection Proteção do Microsoft Entra ID.
microsoftAppGovernance Governação de aplicações da Microsoft.
dataLossPrevention Prevenção de Perda de Dados do Microsoft Purview.
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.
microsoftDefenderForCloud Microsoft Defender for Cloud.
microsoftSentinel Microsoft Sentinel.

detectionSource values (valores de detectionSource)

Valor Descrição
desconhecido Origem de deteção desconhecida.
microsoftDefenderForEndpoint Microsoft Defender para Endpoint.
antivírus Software antivírus.
smartScreen Microsoft Defender SmartScreen.
customTi Informações sobre ameaças personalizadas.
microsoftDefenderForOffice365 Microsoft Defender para Office 365.
automatedInvestigation Investigação automatizada.
microsoftThreatExperts Especialistas em Ameaças da Microsoft.
customDetection Deteção personalizada.
microsoftDefenderForIdentity Microsoft Defender para Identidade.
cloudAppSecurity Cloud app security.
microsoft365Defender Microsoft 365 Defender.
azureAdIdentityProtection Proteção do Microsoft Entra ID.
Manual Deteção manual.
microsoftDataLossPrevention Prevenção de Perda de Dados do Microsoft Purview.
appGovernancePolicy Política de governação de aplicações.
appGovernanceDetection Deteção de governação de aplicações.
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.
microsoftDefenderForCloud Microsoft Defender for Cloud.
microsoftDefenderForIoT Microsoft Defender para IoT.
microsoftDefenderForServers Microsoft Defender para Servidores.
microsoftDefenderForStorage Microsoft Defender para Armazenamento.
microsoftDefenderForDNS Microsoft Defender para DNS.
microsoftDefenderForDatabases Microsoft Defender para Bases de Dados.
microsoftDefenderForContainers Microsoft Defender para Contentores.
microsoftDefenderForNetwork Microsoft Defender para Rede.
microsoftDefenderForAppService Serviço do Microsoft Defender para Aplicações.
microsoftDefenderForKeyVault Microsoft Defender para Key Vault.
microsoftDefenderForResourceManager Microsoft Defender para Resource Manager.
microsoftDefenderForApiManagement Microsoft Defender para Gestão de API.
microsoftSentinel Microsoft Sentinel.
nrtAlerts Alertas NRT do Sentinel.
scheduledAlerts Alertas Agendados do Sentinel.
microsoftDefenderThreatIntelligenceAnalytics Alertas de Informações sobre Ameaças do Sentinel.
builtInMl ML Incorporado do Sentinel.

Relações

Nenhum

Representação JSON

A representação JSON seguinte mostra o tipo de recurso.

{
  "@odata.type": "#microsoft.graph.security.alert",
  "id": "String (identifier)",
  "providerAlertId": "String",
  "incidentId": "String",
  "status": "String",
  "severity": "String",
  "classification": "String",
  "determination": "String",
  "serviceSource": "String",
  "detectionSource": "String",
  "productName": "String",
  "detectorId": "String",
  "tenantId": "String",
  "title": "String",
  "description": "String",
  "recommendedActions": "String",
  "category": "String",
  "assignedTo": "String",
  "alertWebUrl": "String",
  "incidentWebUrl": "String",
  "actorDisplayName": "String",
  "threatDisplayName": "String",
  "threatFamilyName": "String",
  "mitreTechniques": [
    "String"
  ],
  "createdDateTime": "String (timestamp)",
  "lastUpdateDateTime": "String (timestamp)",
  "resolvedDateTime": "String (timestamp)",
  "firstActivityDateTime": "String (timestamp)",
  "lastActivityDateTime": "String (timestamp)",
  "comments": [
    {
      "@odata.type": "microsoft.graph.security.alertComment"
    }
  ],
  "evidence": [
    {
      "@odata.type": "microsoft.graph.security.alertEvidence"
    }
  ],
  "systemTags" : [
    "String",
    "String"
  ],
  "additionalData": {
    "@odata.type": "microsoft.graph.security.dictionary"
  }
}