Warnung Ressourcentyp

Namespace: microsoft.graph

Diese Ressource entspricht der ersten Generation von Warnungen in der Microsoft Graph-Sicherheits-API, die potenzielle Sicherheitsprobleme innerhalb des Mandanten eines Kunden darstellt, die Von Microsoft oder einer Partnersicherheitslösung identifiziert wurden.

Diese Art von Warnungen dient zum Aufrufen unterstützter Azure- und Microsoft 365 Defender Sicherheitsanbieter, die unter Verwenden der Microsoft Graph-Sicherheits-API aufgeführt sind. Es aggregiert allgemeine Warnungsdaten zwischen den verschiedenen Domänen, damit Anwendungen die Verwaltung von Sicherheitsproblemen in allen integrierten Lösungen vereinheitlichen und optimieren können.

Weitere Informationen finden Sie in den Beispielabfragen im Graph-Explorer.

Hinweis

Diese Ressource ist einer der beiden Arten von Warnungen, die die Version v1.0 der Microsoft Graph-Sicherheits-API bietet. Weitere Informationen finden Sie unter Warnungen.

Methoden

Methode Rückgabetyp Beschreibung
Warnung erhalten Warnung Dient zum Lesen der Eigenschaften und der Beziehungen des Warnung-Objekts.
Warnung aktualisieren Warnung Aktualisieren eines Warnung-Objekts.
Warnungen auflisten Warnung Sammlung Ruft eine Warnungobjektsammlung ab.

Eigenschaften

Eigenschaft Typ Beschreibung
activityGroupName String Name oder Alias der Aktivitätsgruppe (Angreifer), dem diese Warnung zugeordnet ist.
assignedTo String Name des Analysten, dem die Warnung für Triage, Untersuchung oder Wartung zugeordnet ist (unterstützt Update).
azureSubscriptionId String Azure-Abonnement-ID, vorhanden, wenn sich diese Warnung auf eine Azure-Ressource bezieht.
azureTenantId String Microsoft Entra Mandanten-ID. Erforderlich.
category String Kategorie der Warnung (z.B. CredentialTheft, Ransomware, usw).
closedDateTime DateTimeOffset Uhrzeit, an der die Warnung abgeschlossen wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel ist Mitternacht UTC am 1. Januar 2014 2014-01-01T00:00:00Z(unterstützt Update).
cloudAppStates cloudAppSecurityState Sammlung Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Cloud-Anwendung(en) im Zusammenhang mit dieser Warnung generiert wurden.
Kommentare Zeichenfolgensammlung Vom Kunden zur Verfügung gestellte Kommentare zur Warnung (für Kunden Warnungsverwaltung) (unterstützt Update).
confidence Int32 Zuverlässigkeit der Erkennungslogik (Prozentsatz zwischen 1-100).
createdDateTime DateTimeOffset Uhrzeit, zu der die Warnung vom Warnungsanbieter erstellt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. Erforderlich.
description String Warnungsbeschreibung.
detectionIds Zeichenfolgensammlung Satz von Warnungen, die sich auf diese Warnungseinheit beziehen (jede Warnung wird als separater Datensatz an der SIEM gesendet).
eventDateTime DateTimeOffset Uhrzeit, zu der das/die Ereignis(e), das/die als Auslöser für die Generierung der Warnung diente(n), aufgetreten sind. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. Erforderlich.
Feedback alertFeedback Analysten-Feedback zur Warnung. Mögliche Werte: unknown, truePositive, falsePositive, benignPositive (unterstütztUpdate)
fileStates FileSecurityState Sammlung Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Datei(en) im Zusammenhang mit dieser Warnung generiert wurden.
hostStates HostSecurityState Sammlung Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über den/die Host(s) im Zusammenhang mit dieser Warnung generiert wurden.
id String Vom Provider generierter GUID/eindeutiger Bezeichner. Schreibgeschützt. Erforderlich.
incidentIds Zeichenfolgenauflistung IDs von Vorfällen, die mit der aktuellen Warnung in Zusammenhang stehen.
lastModifiedDateTime DateTimeOffset Uhrzeit, zu der die Warnung zuletzt geändert wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z.
malwareStates MalwareStateSammlung Informationen zu Bedrohungen, in Bezug auf Malware im Zusammenhang mit dieser Warnung.
networkConnections NetworkConnection Sammlung Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Netzwerk-Verbindung(en) im Zusammenhang mit dieser Warnung generiert wurden.
Prozesse Prozess Sammlung Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über den Prozess oder die Prozesse im Zusammenhang mit dieser Warnung generiert wurden.
recommendedActions Zeichenfolgensammlung Vom Lieferanten/Anbieter empfohlene Maßnahmen, die aufgrund der Warnung zu ergreifen sind (z.B. Maschine isolieren, enforce2FA, Reimaging vom Host).
registryKeyStates RegistryKeyState Sammlung Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Registrierungsschlüssel im Zusammenhang mit dieser Warnung generiert wurden.
securityResources securityResource-Sammlung Ressourcen, die mit der aktuellen Warnung in Zusammenhang stehen. Bei einigen Benachrichtigungen kann dies beispielsweise den Wert Azure-Ressource aufweisen.
Schweregrad alertSeverity Warnungsschweregrad – vom Lieferanten/Anbieter festgelegt. Mögliche Werte: unknown, informational, low, medium, high. Erforderlich.
sourceMaterials Zeichenfolgensammlung Links (URIs) zum Quellmaterial, das sich auf die Warnung bezieht, z.B. die Benutzeroberfläche des Anbieters für Warnungen oder die Logsuche, usw.
Status alertStatus Lebenszyklusstatus der Warnung (Phase). Mögliche Werte: unknown, newAlert, inProgress, resolved (unterstütztUpdate). Erforderlich.
tags Zeichenfolgenauflistung Benutzerdefinierbare Bezeichnungen, die auf eine Warnung angewendet werden können und als Filterbedingungen dienen können (z.B. "HVA", "SAW", usw.) (unterstützt Update).
title String Warnungstitel. Erforderlich.
Auslöser AlertTrigger Sammlung Sicherheitsbezogene Informationen über die spezifischen Eigenschaften, die die Warnung ausgelöst haben (Eigenschaften, die in der Warnung angezeigt werden). Warnmeldungen können Informationen über mehrere Benutzer, Hosts, Dateien und IP-Adressen enthalten. Dieses Feld gibt an, welche Eigenschaften die Warnmeldung ausgelöst haben.
userStates UserSecurityState Sammlung Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Benutzerkonten im Zusammenhang mit dieser Warnung generiert wurden.
vendorInformation SecurityVendorInformation Komplexer Typ, der Details über den Lieferanten des Sicherheitsproduktes/Dienstleistung, den Anbieter und den Subprovider enthält (z.B. Lieferant=Microsoft, Anbieter=Windows Defender ATP, Subprovider=AppLocker). Erforderlich.
vulnerabilityStates VulnerabilityState Sammlung Informationen zu Bedrohungen, die sich auf eine oder mehrere Schwachstellen im Zusammenhang mit dieser Warnung beziehen.

Beziehungen

Keine.

JSON-Darstellung

Es folgt eine JSON-Darstellung der Ressource.

{
  "activityGroupName": "String",
  "assignedTo": "String",
  "azureSubscriptionId": "String",
  "azureTenantId": "String",
  "category": "String",
  "closedDateTime": "String (timestamp)",
  "cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
  "comments": ["String"],
  "confidence": 1024,
  "createdDateTime": "String (timestamp)",
  "description": "String",
  "detectionIds": ["String"],
  "eventDateTime": "String (timestamp)",
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
  "hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
  "id": "String (identifier)",
  "incidentIds": ["String"],
  "lastModifiedDateTime": "String (timestamp)",
  "malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
  "networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
  "processes": [{"@odata.type": "microsoft.graph.process"}],
  "recommendedActions": ["String"],
  "registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
  "securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "sourceMaterials": ["String"],
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": ["String"],
  "title": "String",
  "triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
  "userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
  "vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
  "vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}