tipo de recurso alertEvidence
Espaço de nomes: microsoft.graph.security
Representa provas relacionadas com um alerta.
O tipo de base alertEvidence e os respetivos tipos de evidência derivados fornecem um meio para organizar e controlar dados avançados sobre cada artefacto envolvido num alerta. Por exemplo, um alerta sobre o endereço IP de um atacante que inicia sessão num serviço cloud com uma conta de utilizador comprometida pode controlar as seguintes provas:
-
Provas de IP com as funções de
attacker
esource
, remediação status derunning
e veredicto demalicious
. -
Provas de aplicações na cloud com uma função de
contextual
. -
Prova de caixa de correio para a conta de utilizador pirateada com uma função de
compromised
.
Este recurso é o tipo base para os seguintes tipos de provas:
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- iotDeviceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailClusterEvidence
- mailboxEvidence
- nicEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- urlEvidence
- userEvidence
Propriedades
Propriedade | Tipo | Descrição |
---|---|---|
createdDateTime | DateTimeOffset | A data e hora em que as provas foram criadas e adicionadas ao alerta. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z . |
detailedRoles | String collection | Descrição detalhada da função/s da entidade num alerta. Os valores são de forma livre. |
remediationStatus | microsoft.graph.security.evidenceRemediationStatus | Estado da ação de remediação tomada. Os valores possíveis são: none , , remediated , prevented , blocked notFound , unknownFutureValue , active , pendingApproval , declined , , unremediated , , . partiallyRemediated running Tenha em atenção que tem de utilizar o cabeçalho do Prefer: include-unknown-enum-members pedido para obter os seguintes valores desta enumeração evoluível: active , pendingApproval , declined , unremediated , , running . partiallyRemediated |
remediationStatusDetails | Cadeia de caracteres | Detalhes sobre o status de remediação. |
funções | microsoft.graph.security.evidenceRole collection | A função/s que uma entidade de evidência representa num alerta, por exemplo, um endereço IP associado a um atacante tem a função de prova Atacante. |
tags | String collection | Matriz de etiquetas personalizadas associadas a uma instância de provas, por exemplo, para denotar um grupo de dispositivos, ativos de alto valor, etc. |
veredicto | microsoft.graph.security.evidenceVerdict | A decisão tomada pela investigação automatizada. Os valores possíveis são: unknown , suspicious , malicious , noThreatsFound , unknownFutureValue . |
detectionSource values (valores de detectionSource)
Valor | Descrição |
---|---|
detetado | Foi detetado um produto da ameaça executada. |
bloqueado | A ameaça foi remediada no tempo de execução. |
impedida | A ameaça foi impedida de ocorrer (em execução, a transferir, etc.). |
unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
evidenceRemediationStatus values (valores evidenceRemediationStatus)
Member | Descrição |
---|---|
none | Não foram encontradas ameaças. |
remediado | A ação de remediação foi concluída com êxito. |
impedida | A ameaça foi impedida de ser executada. |
bloqueado | A ameaça foi bloqueada durante a execução. |
notFound | As provas não foram encontradas. |
unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
ativo | A investigação está em execução/pendente e a remediação ainda não está concluída. |
pendingApproval | A ação de remediação está pendente de aprovação. |
recusado | A acção de remediação foi recusada. |
não remediado | A investigação anula a remediação e a entidade é recuperada. |
em execução | A ação de remediação está em execução. |
parcialmente Remediado | A ameaça foi parcialmente remidiada. |
valores evidenceRole
Member | Descrição |
---|---|
desconhecido | A função de prova é desconhecida. |
contextual | Uma entidade que surgiu provavelmente benigna, mas que foi reportada como um efeito colateral da ação de um atacante. Por exemplo, o processo de services.exe benigno foi utilizado para iniciar um serviço malicioso. |
digitalizada | Uma entidade identificada como alvo de ações de análise ou reconhecimento de deteção. Por exemplo, foi utilizado um detetor de porta para analisar uma rede. |
source | A entidade de origem da atividade. Por exemplo, um dispositivo, utilizador, endereço IP ou assim sucessivamente. |
destino | A entidade para a qual a atividade foi enviada. Por exemplo, um dispositivo, utilizador, endereço IP ou assim sucessivamente. |
criadas | A entidade foi criada como resultado das ações de um atacante. Por exemplo, foi criada uma conta de utilizador. |
adicionado | A entidade foi adicionada como resultado das ações de um atacante. Por exemplo, uma conta de utilizador foi adicionada a um grupo de permissões. |
comprometido | A entidade foi comprometida e está sob o controlo de um atacante. Por exemplo, uma conta de utilizador foi comprometida e utilizada para iniciar sessão num serviço cloud. |
editado | A entidade foi editada ou alterada por um atacante. Por exemplo, a chave de registo de um serviço foi editada para apontar para a localização de um novo payload malicioso. |
atacado | A entidade foi atacada. Por exemplo, um dispositivo foi visado num ataque DDoS. |
atacante | A entidade representa o atacante. Por exemplo, o endereço IP do atacante observou o início de sessão num serviço cloud com uma conta de utilizador comprometida. |
commandAndControl | A entidade está a ser utilizada para comando e controlo. Por exemplo, um domínio C2 (comando e controlo) utilizado por software maligno. |
carregado | A entidade foi carregada por um processo sob o controlo de um atacante. Por exemplo, uma DLL foi carregada para um processo controlado por atacantes. |
suspeito | A entidade é suspeita de ser maliciosa ou controlada por um atacante, mas não foi incriminada. |
policyViolator | A entidade é um violador de uma política definida pelo cliente. |
unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
valores evidenceVerdict
Member | Descrição |
---|---|
desconhecido | Nenhum veredicto foi determinado para as provas. |
suspeito | Ações de remediação recomendadas a aguardar aprovação. |
malicioso | As provas foram determinadas como maliciosas. |
noThreatsFound | Nenhuma ameaça foi detectada- as provas são benignas. |
unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
Relações
Nenhum
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}