Warnung Ressourcentyp
Namespace: microsoft.graph
Wichtig
APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .
Stellen potenzielle Sicherheitsprobleme im Mandanten des Kunden, die von Sicherheitslösungen von Microsoft oder Partnern identifiziert wurden. Verwenden Sie Warnungen, um das Sicherheitsproblemmanagement über alle integrierten Lösungen hinweg zu vereinheitlichen und zu optimieren. Weitere Informationen finden Sie in den Beispielabfragen im Graph-Explorer.
Warnungen können von verschiedenen Sicherheitsanbietern abgerufen werden, die in der Übersicht über die Sicherheit von Microsoft Graphaufgelistet sind.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Warnung erhalten | Warnung | Dient zum Lesen der Eigenschaften und der Beziehungen des Warnung-Objekts. |
| Warnung aktualisieren | Warnung | Aktualisieren eines Warnung-Objekts. |
| Warnungen auflisten | Warnung Sammlung | Ruft eine Warnungobjektsammlung ab. |
| Warnungen aktualisieren | Warnung Sammlung | Aktualisieren Sie mehrere Warnungsobjekte. |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| activityGroupName | String | Name oder Alias der Aktivitätsgruppe (Angreifer), dem diese Warnung zugeordnet ist. |
| assignedTo | String | Name des Analysten, dem die Warnung für Triage, Untersuchung oder Wartung zugeordnet ist (unterstützt Update). |
| azureSubscriptionId | String | Azure-Abonnement-ID, vorhanden, wenn sich diese Warnung auf eine Azure-Ressource bezieht. |
| azureTenantId | String | Azure Active Directory Mandanten-ID. Erforderlich. |
| category | String | Kategorie der Warnung (z.B. CredentialTheft, Ransomware, usw). |
| closedDateTime | DateTimeOffset | Uhrzeit, an der die Warnung abgeschlossen wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Beispielsweise ist Mitternacht UTC am 1. Januar 2014 2014-01-01T00:00:00Z (unterstützt Update). |
| cloudAppStates | cloudAppSecurityState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Cloud-Anwendung(en) im Zusammenhang mit dieser Warnung generiert wurden. |
| Kommentare | Zeichenfolgensammlung | Vom Kunden zur Verfügung gestellte Kommentare zur Warnung (für Kunden Warnungsverwaltung) (unterstützt Update). |
| confidence | Int32 | Zuverlässigkeit der Erkennungslogik (Prozentsatz zwischen 1-100). |
| createdDateTime | DateTimeOffset | Uhrzeit, zu der die Warnung vom Warnungsanbieter erstellt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. Erforderlich. |
| description | String | Warnungsbeschreibung. |
| detectionIds | Zeichenfolgensammlung | Satz von Warnungen, die sich auf diese Warnungseinheit beziehen (jede Warnung wird als separater Datensatz an der SIEM gesendet). |
| eventDateTime | DateTimeOffset | Uhrzeit, zu der das/die Ereignis(e), das/die als Auslöser für die Generierung der Warnung diente(n), aufgetreten sind. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. Erforderlich. |
| Feedback | alertFeedback | Analysten-Feedback zur Warnung. Mögliche Werte: unknown, truePositive, falsePositive, benignPositive (unterstütztUpdate) |
| fileStates | FileSecurityState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Datei(en) im Zusammenhang mit dieser Warnung generiert wurden. |
| historyStates | alertHistoryState-Auflistung | Eine Auflistung von alertHistoryStates, die ein Überwachungsprotokoll aller an einer Warnung vorgenommenen Aktualisierungen enthält. |
| hostStates | HostSecurityState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über den/die Host(s) im Zusammenhang mit dieser Warnung generiert wurden. |
| id | String | Vom Provider generierter GUID/eindeutiger Bezeichner. Schreibgeschützt. Erforderlich. |
| incidentIds | Zeichenfolgenauflistung | IDs von Vorfällen, die mit der aktuellen Warnung in Zusammenhang stehen. |
| lastModifiedDateTime | DateTimeOffset | Uhrzeit, zu der die Warnung zuletzt geändert wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. |
| malwareStates | MalwareStateSammlung | Informationen zu Bedrohungen, in Bezug auf Malware im Zusammenhang mit dieser Warnung. |
| networkConnections | NetworkConnection Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Netzwerk-Verbindung(en) im Zusammenhang mit dieser Warnung generiert wurden. |
| Prozesse | Prozess Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über den Prozess oder die Prozesse im Zusammenhang mit dieser Warnung generiert wurden. |
| recommendedActions | Zeichenfolgensammlung | Vom Lieferanten/Anbieter empfohlene Maßnahmen, die aufgrund der Warnung zu ergreifen sind (z.B. Maschine isolieren, enforce2FA, Reimaging vom Host). |
| registryKeyStates | RegistryKeyState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Registrierungsschlüssel im Zusammenhang mit dieser Warnung generiert wurden. |
| securityResources | securityResource-Sammlung | Ressourcen, die mit der aktuellen Warnung in Zusammenhang stehen. Bei einigen Benachrichtigungen kann dies beispielsweise den Wert Azure-Ressource aufweisen. |
| Schweregrad | alertSeverity | Warnungsschweregrad – vom Lieferanten/Anbieter festgelegt. Mögliche Werte: unknown, informational, low, medium, high. Erforderlich. |
| sourceMaterials | Zeichenfolgensammlung | Links (URIs) zum Quellmaterial, das sich auf die Warnung bezieht, z.B. die Benutzeroberfläche des Anbieters für Warnungen oder die Logsuche, usw. |
| Status | alertStatus | Lebenszyklusstatus der Warnung (Phase). Mögliche Werte: unknown, newAlert, inProgress, resolved (unterstütztUpdate). Erforderlich. |
| tags | Zeichenfolgenauflistung | Benutzerdefinierbare Bezeichnungen, die auf eine Warnung angewendet werden können und als Filterbedingungen dienen können (z.B. "HVA", "SAW", usw.) (unterstützt Update). |
| title | String | Warnungstitel. Erforderlich. |
| Auslöser | AlertTrigger Sammlung | Sicherheitsbezogene Informationen über die spezifischen Eigenschaften, die die Warnung ausgelöst haben (Eigenschaften, die in der Warnung angezeigt werden). Warnmeldungen können Informationen über mehrere Benutzer, Hosts, Dateien und IP-Adressen enthalten. Dieses Feld gibt an, welche Eigenschaften die Warnmeldung ausgelöst haben. |
| userStates | UserSecurityState Sammlung | Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Benutzerkonten im Zusammenhang mit dieser Warnung generiert wurden. |
| vendorInformation | SecurityVendorInformation | Komplexer Typ, der Details über den Lieferanten des Sicherheitsproduktes/Dienstleistung, den Anbieter und den Subprovider enthält (z.B. Lieferant=Microsoft, Anbieter=Windows Defender ATP, Subprovider=AppLocker). Erforderlich. |
| vulnerabilityStates | VulnerabilityState Sammlung | Informationen zu Bedrohungen, die sich auf eine oder mehrere Schwachstellen im Zusammenhang mit dieser Warnung beziehen. |
Beziehungen
Keine.
JSON-Darstellung
Es folgt eine JSON-Darstellung der Ressource.
{
"activityGroupName": "String",
"assignedTo": "String",
"azureSubscriptionId": "String",
"azureTenantId": "String",
"category": "String",
"closedDateTime": "String (timestamp)",
"cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
"comments": ["String"],
"confidence": 1024,
"createdDateTime": "String (timestamp)",
"description": "String",
"detectionIds": ["String"],
"eventDateTime": "String (timestamp)",
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
"historyStates": [{"@odata.type": "microsoft.graph.alertHistoryState"}],
"hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
"id": "String (identifier)",
"incidentIds": ["String"],
"lastModifiedDateTime": "String (timestamp)",
"malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
"networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
"processes": [{"@odata.type": "microsoft.graph.process"}],
"recommendedActions": ["String"],
"registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
"securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"sourceMaterials": ["String"],
"status": "@odata.type: microsoft.graph.alertStatus",
"tags": ["String"],
"title": "String",
"triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
"userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
"vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
"vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}
Feedback
Feedback senden und anzeigen für