Warnung Ressourcentypalert resource type

Wichtig

APIs unter der /beta Version in Microsoft Graph können Änderungen unterworfen werden.APIs under the /beta version in Microsoft Graph are subject to change. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt.Use of these APIs in production applications is not supported.

Stellen potenzielle Sicherheitsprobleme im Mandanten des Kunden, die von Sicherheitslösungen von Microsoft oder Partnern identifiziert wurden.Represents potential security issues within a customer's tenant that Microsoft or partner security solutions have identified. Verwenden Sie Warnungen, um das Sicherheitsproblemmanagement über alle integrierten Lösungen hinweg zu vereinheitlichen und zu optimieren.Use alerts to unify and streamline security issue management across all integrated solutions. Weitere Informationen finden Sie in den Beispielabfragen im Graph-Explorer.To learn more, see the sample queries in Graph Explorer.

Warnungen können von verschiedenen Sicherheitsanbietern abgerufen werden, die in der Übersicht über die Sicherheit von Microsoft Graphaufgelistet sind.Alerts can be retrieved from different security providers listed in the Microsoft Graph Security Overview.

MethodenMethods

MethodeMethod RückgabetypReturn Type BeschreibungDescription
Warnung erhaltenGet alert Warnungalert Dient zum Lesen der Eigenschaften und der Beziehungen des Warnung-Objekts.Read properties and relationships of an alert object.
Warnung aktualisierenUpdate alert Warnungalert Aktualisieren eines Warnung-Objekts.Update an alert object.
Warnungen auflistenList alerts Warnung Sammlungalert collection Ruft eine Warnungobjektsammlung ab.Get an alert object collection.
Warnungen aktualisierenUpdate alerts Warnung Sammlungalert collection Aktualisieren mehrerer Alert-Objekte.Update multiple alert objects.

EigenschaftenProperties

EigenschaftProperty TypType BeschreibungDescription
activityGroupNameactivityGroupName StringString Name oder Alias der Aktivitätsgruppe (Angreifer), dem diese Warnung zugeordnet ist.Name or alias of the activity group (attacker) this alert is attributed to.
assignedToassignedTo StringString Name des Analysten, dem die Warnung für Triage, Untersuchung oder Wartung zugeordnet ist (unterstützt Update).Name of the analyst the alert is assigned to for triage, investigation, or remediation (supports update).
azureSubscriptionIdazureSubscriptionId StringString Azure-Abonnement-ID, vorhanden, wenn sich diese Warnung auf eine Azure-Ressource bezieht.Azure subscription ID, present if this alert is related to an Azure resource.
azureTenantIdazureTenantId StringString Azure Active Directory Mandanten-ID.Azure Active Directory tenant ID. Erforderlich.Required.
categorycategory StringString Kategorie der Warnung (z.B. CredentialTheft, Ransomware, usw).Category of the alert (for example, credentialTheft, ransomware, etc.).
closedDateTimeclosedDateTime DateTimeOffsetDateTimeOffset Uhrzeit, an der die Warnung abgeschlossen wurde.Time at which the alert was closed. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. Mitternacht UTC-Zeit am 1. Januar 2014 würde z. B. wie folgt aussehen: '2014-01-01T00:00:00Z' (unterstützt Update).For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z' (supports update).
cloudAppStatescloudAppStates cloudAppSecurityState SammlungcloudAppSecurityState collection Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Cloud-Anwendung(en) im Zusammenhang mit dieser Warnung generiert wurden.Security-related stateful information generated by the provider about the cloud application/s related to this alert.
Kommentarecomments String collectionString collection Vom Kunden zur Verfügung gestellte Kommentare zur Warnung (für Kunden Warnungsverwaltung) (unterstützt Update).Customer-provided comments on alert (for customer alert management) (supports update).
confidenceconfidence Int32Int32 Zuverlässigkeit der Erkennungslogik (Prozentsatz zwischen 1-100).Confidence of the detection logic (percentage between 1-100).
createdDateTimecreatedDateTime DateTimeOffsetDateTimeOffset Uhrzeit, zu der die Warnung vom Warnungsanbieter erstellt wurde.Time at which the alert was created by the alert provider. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. Mitternacht UTC-Zeit am 1. Januar 2014 würde z. B. wie folgt aussehen: '2014-01-01T00:00:00Z'.For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'. Erforderlich.Required.
descriptiondescription ZeichenfolgeString Warnungsbeschreibung.Alert description.
detectionIdsdetectionIds String collectionString collection Satz von Warnungen, die sich auf diese Warnungseinheit beziehen (jede Warnung wird als separater Datensatz an der SIEM gesendet).Set of alerts related to this alert entity (each alert is pushed to the SIEM as a separate record).
eventDateTimeeventDateTime DateTimeOffsetDateTimeOffset Uhrzeit, zu der das/die Ereignis(e), das/die als Auslöser für die Generierung der Warnung diente(n), aufgetreten sind.Time at which the event(s) that served as the trigger(s) to generate the alert occurred. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. Mitternacht UTC-Zeit am 1. Januar 2014 würde z. B. wie folgt aussehen: '2014-01-01T00:00:00Z'.For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'. Erforderlich.Required.
Feedbackfeedback alertFeedbackalertFeedback Analysten-Feedback zur Warnung.Analyst feedback on the alert. Mögliche Werte: unknown, truePositive, falsePositive, benignPositivePossible values are: unknown, truePositive, falsePositive, benignPositive. (unterstütztUpdate)(supports update)
fileStatesfileStates FileSecurityState SammlungfileSecurityState collection Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Datei(en) im Zusammenhang mit dieser Warnung generiert wurden.Security-related stateful information generated by the provider about the file(s) related to this alert.
historyStateshistoryStates alertHistoryState -SammlungalertHistoryState collection Eine Auflistung von alertHistoryStates , die ein Überwachungsprotokoll aller an einer Warnung vorgenommenen Aktualisierungen umfasst.A collection of alertHistoryStates comprising an audit log of all updates made to an alert.
hostStateshostStates HostSecurityState SammlunghostSecurityState collection Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über den/die Host(s) im Zusammenhang mit dieser Warnung generiert wurden.Security-related stateful information generated by the provider about the host(s) related to this alert.
idid StringString Vom Provider generierter GUID/eindeutiger Bezeichner.Provider-generated GUID/unique identifier. Schreibgeschützt.Read-only. Erforderlich.Required.
lastModifiedDateTimelastModifiedDateTime DateTimeOffsetDateTimeOffset Uhrzeit, zu der die Warnung zuletzt geändert wurde.Time at which the alert entity was last modified. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. Mitternacht UTC-Zeit am 1. Januar 2014 würde z. B. wie folgt aussehen: '2014-01-01T00:00:00Z'.For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'.
malwareStatesmalwareStates MalwareStateSammlungmalwareState collection Informationen zu Bedrohungen, in Bezug auf Malware im Zusammenhang mit dieser Warnung.Threat Intelligence pertaining to malware related to this alert.
networkConnectionsnetworkConnections NetworkConnection SammlungnetworkConnection collection Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Netzwerk-Verbindung(en) im Zusammenhang mit dieser Warnung generiert wurden.Security-related stateful information generated by the provider about the network connection(s) related to this alert.
Prozesseprocesses Prozess Sammlungprocess collection Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über den Prozess oder die Prozesse im Zusammenhang mit dieser Warnung generiert wurden.Security-related stateful information generated by the provider about the process or processes related to this alert.
recommendedActionsrecommendedActions String collectionString collection Vom Lieferanten/Anbieter empfohlene Maßnahmen, die aufgrund der Warnung zu ergreifen sind (z.B. Maschine isolieren, enforce2FA, Reimaging vom Host).Vendor/provider recommended action(s) to take as a result of the alert (for example, isolate machine, enforce2FA, reimage host).
registryKeyStatesregistryKeyStates RegistryKeyState SammlungregistryKeyState collection Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Registrierungsschlüssel im Zusammenhang mit dieser Warnung generiert wurden.Security-related stateful information generated by the provider about the registry keys related to this alert.
Schweregradseverity alertSeverityalertSeverity Warnungsschweregrad – vom Lieferanten/Anbieter festgelegt.Alert severity - set by vendor/provider. Mögliche Werte: unknown, informational, low, medium, high.Possible values are: unknown, informational, low, medium, high. Erforderlich.Required.
sourceMaterialssourceMaterials ZeichenfolgensammlungString collection Links (URIs) zum Quellmaterial, das sich auf die Warnung bezieht, z.B. die Benutzeroberfläche des Anbieters für Warnungen oder die Logsuche, usw.Hyperlinks (URIs) to the source material related to the alert, for example, provider's user interface for alerts or log search, etc.
Statusstatus alertStatusalertStatus Lebenszyklusstatus der Warnung (Phase).Alert lifecycle status (stage). Mögliche Werte: unknown, newAlert, inProgress, resolvedPossible values are: unknown, newAlert, inProgress, resolved. (unterstütztUpdate).(supports update). Erforderlich.Required.
tagstags ZeichenfolgenauflistungString collection Benutzerdefinierbare Bezeichnungen, die auf eine Warnung angewendet werden können und als Filterbedingungen dienen können (z.B. "HVA", "SAW", usw.) (unterstützt Update).User-definable labels that can be applied to an alert and can serve as filter conditions (for example "HVA", "SAW", etc.) (supports update).
titletitle StringString Warnungstitel.Alert title. Erforderlich.Required.
Auslösertriggers AlertTrigger SammlungalertTrigger collection Sicherheitsbezogene Informationen über die spezifischen Eigenschaften, die die Warnung ausgelöst haben (Eigenschaften, die in der Warnung angezeigt werden).Security-related information about the specific properties that triggered the alert (properties appearing in the alert). Warnmeldungen können Informationen über mehrere Benutzer, Hosts, Dateien und IP-Adressen enthalten.Alerts might contain information about multiple users, hosts, files, ip addresses. Dieses Feld gibt an, welche Eigenschaften die Warnmeldung ausgelöst haben.This field indicates which properties triggered the alert generation.
userStatesuserStates UserSecurityState SammlunguserSecurityState collection Sicherheitsrelevante zustandsbehaftete Informationen, die vom Anbieter über die Benutzerkonten im Zusammenhang mit dieser Warnung generiert wurden.Security-related stateful information generated by the provider about the user accounts related to this alert.
vendorInformationvendorInformation SecurityVendorInformationsecurityVendorInformation Komplexer Typ, der Details über den Lieferanten des Sicherheitsproduktes/Dienstleistung, den Anbieter und den Subprovider enthält (z.B. Lieferant=Microsoft, Anbieter=Windows Defender ATP, Subprovider=AppLocker).Complex type containing details about the security product/service vendor, provider, and subprovider (for example, vendor=Microsoft; provider=Windows Defender ATP; subProvider=AppLocker). Erforderlich.Required.
vulnerabilityStatesvulnerabilityStates VulnerabilityState SammlungvulnerabilityState collection Informationen zu Bedrohungen, die sich auf eine oder mehrere Schwachstellen im Zusammenhang mit dieser Warnung beziehen.Threat intelligence pertaining to one or more vulnerabilities related to this alert.

BeziehungenRelationships

Keine.None.

JSON-DarstellungJSON representation

Es folgt eine JSON-Darstellung der Ressource.The following is a JSON representation of the resource.

{
  "activityGroupName": "String",
  "assignedTo": "String",
  "azureSubscriptionId": "String",
  "azureTenantId": "String",
  "category": "String",
  "closedDateTime": "String (timestamp)",
  "cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
  "comments": ["String"],
  "confidence": 1024,
  "createdDateTime": "String (timestamp)",
  "description": "String",
  "detectionIds": ["String"],
  "eventDateTime": "String (timestamp)",
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
  "historyStates": [{"@odata.type": "microsoft.graph.alertHistoryState"}],
  "hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
  "id": "String (identifier)",
  "lastModifiedDateTime": "String (timestamp)",
  "malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
  "networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
  "processes": [{"@odata.type": "microsoft.graph.process"}],
  "recommendedActions": ["String"],
  "registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "sourceMaterials": ["String"],
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": ["String"],
  "title": "String",
  "triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
  "userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
  "vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
  "vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}