tipo de recurso de incidente
Espaço de nomes: microsoft.graph.security
Importante
As APIs na versão /beta
no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Um incidente no Microsoft 365 Defender é uma coleção de instâncias de alerta correlacionadas e metadados associados que refletem a história de um ataque num inquilino.
Os serviços e aplicativos do Microsoft 365 criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem dicas valiosas sobre um ataque concluído ou contínuo. No entanto, os ataques geralmente empregam várias técnicas contra diferentes tipos de entidades, como dispositivos, usuários e caixas de correio. O resultado são vários alertas para várias entidades em seu locatário. Como reunir os alertas individuais para obter informações sobre um ataque pode ser desafiador e demorado, Microsoft 365 Defender agrega automaticamente os alertas e suas informações associadas a um incidente.
Métodos
Método | Tipo de retorno | Descrição |
---|---|---|
Listar incidentes | coleção microsoft.graph.security.incident | Obtenha uma lista de objetos de incidentes que o Microsoft 365 Defender criou para controlar ataques numa organização. |
Obter incidente | microsoft.graph.security.incident | Leia as propriedades e relações de um objeto de incidente . |
Atualizar incidente | microsoft.graph.security.incident | Atualize as propriedades de um objeto de incidente . |
Criar comentário para incidente | alertComment | Crie um comentário para um incidente existente com base na propriedade ID do incidente especificada. |
Propriedades
Propriedade | Tipo | Descrição |
---|---|---|
assignedTo | Cadeia de caracteres | Proprietário do incidente ou nulo se não for atribuído nenhum proprietário. Texto editável gratuito. |
classificação | microsoft.graph.security.alertClassification | A especificação do incidente. Os valores possíveis são: unknown , falsePositive , truePositive , informationalExpectedActivity , unknownFutureValue . |
comentários | coleção microsoft.graph.security.alertComment | Matriz de comentários criados pela equipa de Operações de Segurança (SecOps) quando o incidente é gerido. |
createdDateTime | DateTimeOffset | Hora em que o incidente foi criado pela primeira vez. |
customTags | Coleção String | A coleção de etiquetas personalizadas associadas a um incidente. |
description | Cadeia de caracteres | Descrição do incidente. |
description | Cadeia de caracteres | Uma Cadeia de texto formatado que descreve o incidente |
determinação | microsoft.graph.security.alertDetermination | Especifica a determinação do incidente. Os valores possíveis são: unknown , apt , malware , securityPersonnel , securityTesting , unwantedSoftware , other , multiStagedAttack , compromisedUser , phishing , maliciousUserActivity , clean , insufficientData , confirmedUserActivity , lineOfBusinessApplication , unknownFutureValue . |
displayName | Cadeia de caracteres | O nome do incidente. |
id | Cadeia de caracteres | Identificador exclusivo para representar o incidente. |
incidentWebUrl | Cadeia de caracteres | O URL da página do incidente no portal do Microsoft 365 Defender. |
lastModifiedBy | Cadeia de caracteres | A identidade que modificou o incidente pela última vez. |
lastUpdateDateTime | DateTimeOffset | Hora em que o incidente foi atualizado pela última vez. |
recommendedActions | Cadeia de caracteres | Uma cadeia de texto formatado que representa as ações que são recomndadas a realizar para resolver o incidente. |
recommendedHuntingQueries | Collection(microsoft.graph.security.recommendedHuntingQuery) | Lista de consultas da Linguagem de Consulta Kusto (KQL) relacionadas com o incidente. |
redirectIncidentId | Cadeia de caracteres | Apenas preenchido no caso de um incidente ser agrupado juntamente com outro incidente, como parte da lógica que processa incidentes. Nesse caso, a propriedade de estado é redirected . |
resolverComment | Cadeia de caracteres | Entrada do utilizador que explica a resolução do incidente e a opção de classificação. Esta propriedade contém texto editável gratuito. |
severity | alertSeverity | Indica o possível impacto nos recursos. Quanto maior for a gravidade, maior será o impacto. Normalmente, os itens de gravidade mais elevados requerem a atenção mais imediata. Os possíveis valores são: unknown , informational , low , medium , high , unknownFutureValue . |
status | microsoft.graph.security.incidentStatus | O estado do incidente. Os valores possíveis são: active , , resolved inProgress , redirected , , unknownFutureValue e awaitingAction . |
summary | Cadeia de caracteres | A descrição geral de um ataque. Quando aplicável, o resumo contém detalhes sobre o que ocorreu, os recursos afetados e o tipo de ataque. |
systemTags | Coleção de cadeias de caracteres | A coleção de etiquetas de sistema associadas ao incidente. |
tenantId | String | O inquilino do Microsoft Entra no qual o alerta foi criado. |
incidentStatus values (valores incidentStatus)
A tabela seguinte lista os membros de uma enumeração evoluível. Tem de utilizar o cabeçalho do Prefer: include-unknown-enum-members
pedido para obter os seguintes valores nesta enumeração evoluível: awaitingAction
.
Member | Descrição |
---|---|
ativo | O incidente está no estado ativo. |
resolvido | O incidente está no estado resolvido. |
inProgress | O incidente está em curso de mitigação. |
redirecionado | O incidente foi intercalado com outro incidente. O ID do incidente de destino é apresentado na propriedade redirectIncidentId . |
unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
waitingAction | Este incidente requer ações de Especialistas do Defender à espera da sua ação. Apenas os especialistas do Microsoft 365 Defender podem definir este estado. |
Relações
Relação | Tipo | Descrição |
---|---|---|
alertas | coleção microsoft.graph.security.alert | A lista de alertas relacionados. Suporta o $expand . |
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"recommendedActions" : "String",
"recommendedHuntingQueries" : [{"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"}],
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String"
}