Compartilhar via


tipo de recurso de incidente

Espaço de nomes: microsoft.graph.security

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.

Um incidente no Microsoft 365 Defender é uma coleção de instâncias de alerta correlacionadas e metadados associados que refletem a história de um ataque num inquilino.

Os serviços e aplicativos do Microsoft 365 criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem dicas valiosas sobre um ataque concluído ou contínuo. No entanto, os ataques geralmente empregam várias técnicas contra diferentes tipos de entidades, como dispositivos, usuários e caixas de correio. O resultado são vários alertas para várias entidades em seu locatário. Como reunir os alertas individuais para obter informações sobre um ataque pode ser desafiador e demorado, Microsoft 365 Defender agrega automaticamente os alertas e suas informações associadas a um incidente.

Métodos

Método Tipo de retorno Descrição
Listar incidentes coleção microsoft.graph.security.incident Obtenha uma lista de objetos de incidentes que o Microsoft 365 Defender criou para controlar ataques numa organização.
Obter incidente microsoft.graph.security.incident Leia as propriedades e relações de um objeto de incidente .
Atualizar incidente microsoft.graph.security.incident Atualize as propriedades de um objeto de incidente .
Criar comentário para incidente alertComment Crie um comentário para um incidente existente com base na propriedade ID do incidente especificada.

Propriedades

Propriedade Tipo Descrição
assignedTo Cadeia de caracteres Proprietário do incidente ou nulo se não for atribuído nenhum proprietário. Texto editável gratuito.
classificação microsoft.graph.security.alertClassification A especificação do incidente. Os valores possíveis são: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue.
comentários coleção microsoft.graph.security.alertComment Matriz de comentários criados pela equipa de Operações de Segurança (SecOps) quando o incidente é gerido.
createdDateTime DateTimeOffset Hora em que o incidente foi criado pela primeira vez.
customTags Coleção String A coleção de etiquetas personalizadas associadas a um incidente.
description Cadeia de caracteres Descrição do incidente.
description Cadeia de caracteres Uma Cadeia de texto formatado que descreve o incidente
determinação microsoft.graph.security.alertDetermination Especifica a determinação do incidente. Os valores possíveis são: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue.
displayName Cadeia de caracteres O nome do incidente.
id Cadeia de caracteres Identificador exclusivo para representar o incidente.
incidentWebUrl Cadeia de caracteres O URL da página do incidente no portal do Microsoft 365 Defender.
lastModifiedBy Cadeia de caracteres A identidade que modificou o incidente pela última vez.
lastUpdateDateTime DateTimeOffset Hora em que o incidente foi atualizado pela última vez.
recommendedActions Cadeia de caracteres Uma cadeia de texto formatado que representa as ações que são recomndadas a realizar para resolver o incidente.
recommendedHuntingQueries Collection(microsoft.graph.security.recommendedHuntingQuery) Lista de consultas da Linguagem de Consulta Kusto (KQL) relacionadas com o incidente.
redirectIncidentId Cadeia de caracteres Apenas preenchido no caso de um incidente ser agrupado juntamente com outro incidente, como parte da lógica que processa incidentes. Nesse caso, a propriedade de estado é redirected.
resolverComment Cadeia de caracteres Entrada do utilizador que explica a resolução do incidente e a opção de classificação. Esta propriedade contém texto editável gratuito.
severity alertSeverity Indica o possível impacto nos recursos. Quanto maior for a gravidade, maior será o impacto. Normalmente, os itens de gravidade mais elevados requerem a atenção mais imediata. Os possíveis valores são: unknown, informational, low, medium, high, unknownFutureValue.
status microsoft.graph.security.incidentStatus O estado do incidente. Os valores possíveis são: active, , resolvedinProgress, redirected, , unknownFutureValuee awaitingAction.
summary Cadeia de caracteres A descrição geral de um ataque. Quando aplicável, o resumo contém detalhes sobre o que ocorreu, os recursos afetados e o tipo de ataque.
systemTags Coleção de cadeias de caracteres A coleção de etiquetas de sistema associadas ao incidente.
tenantId String O inquilino do Microsoft Entra no qual o alerta foi criado.

incidentStatus values (valores incidentStatus)

A tabela seguinte lista os membros de uma enumeração evoluível. Tem de utilizar o cabeçalho do Prefer: include-unknown-enum-members pedido para obter os seguintes valores nesta enumeração evoluível: awaitingAction.

Member Descrição
ativo O incidente está no estado ativo.
resolvido O incidente está no estado resolvido.
inProgress O incidente está em curso de mitigação.
redirecionado O incidente foi intercalado com outro incidente. O ID do incidente de destino é apresentado na propriedade redirectIncidentId .
unknownFutureValue Valor da sentinela de enumeração evoluível. Não usar.
waitingAction Este incidente requer ações de Especialistas do Defender à espera da sua ação. Apenas os especialistas do Microsoft 365 Defender podem definir este estado.

Relações

Relação Tipo Descrição
alertas coleção microsoft.graph.security.alert A lista de alertas relacionados. Suporta o $expand.

Representação JSON

A representação JSON seguinte mostra o tipo de recurso.

{
  "@odata.type": "#microsoft.graph.security.incident",
  "assignedTo": "String",
  "classification": "String",
  "comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
  "createdDateTime": "String (timestamp)",
  "customTags": ["String"],
  "description" : "String",
  "determination": "String",
  "displayName": "String",
  "id": "String (identifier)",
  "incidentWebUrl": "String",
  "lastModifiedBy": "String",
  "lastUpdateDateTime": "String (timestamp)",
  "recommendedActions" : "String",
  "recommendedHuntingQueries" : [{"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"}],
  "redirectIncidentId": "String",
  "resolvingComment": "String",
  "severity": "String",
  "status": "String",
  "summary": "String",
  "systemTags" : ["String"],
  "tenantId": "String"
}