alertEvidence-Ressourcentyp
Namespace: microsoft.graph.security
Stellt Beweise im Zusammenhang mit einer Warnung dar.
Der alertEvidence-Basistyp und seine abgeleiteten Beweistypen bieten eine Möglichkeit, umfangreiche Daten zu jedem Artefakt zu organisieren und nachzuverfolgen, das an einer Warnung beteiligt ist. Beispielsweise kann eine Warnung über die IP-Adresse eines Angreifers, die sich mit einem kompromittierten Benutzerkonto bei einem Clouddienst anmeldet, die folgenden Beweise nachverfolgen:
- IP-Nachweis mit den Rollen von
attackerundsource, Korrektur status vonrunningund Bewertung vonmalicious. - Cloudanwendungsbeweis mit der
contextualRolle . - Postfachbeweis für das gehackte Benutzerkonto mit der
compromisedRolle .
Diese Ressource ist der Basistyp für die folgenden Beweistypen:
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceAccountEvidence
- kubernetesServiceEvidence
- mailClusterEvidence
- mailboxEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- urlEvidence
- userEvidence
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| createdDateTime | DateTimeOffset | Das Datum und die Uhrzeit, zu dem der Beweis erstellt und der Warnung hinzugefügt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. |
| detailedRoles | String collection | Ausführliche Beschreibung der Entitätsrollen in einer Warnung. Werte sind Freiform. |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | Status der durchgeführten Korrekturmaßnahme. Mögliche Werte sind: none, remediated, prevented, blocked, notFound, unknownFutureValue. |
| remediationStatusDetails | String | Details zur status. |
| roles | microsoft.graph.security.evidenceRole-Sammlung | Die Rollen, die eine Beweisentität in einer Warnung darstellt, z. B. eine IP-Adresse, die einem Angreifer zugeordnet ist, hat die Beweisrolle Angreifer. |
| tags | Zeichenfolgenauflistung | Array von benutzerdefinierten Tags, die einem Beweis zugeordnet instance, um z. B. eine Gruppe von Geräten, hochwertige Ressourcen usw. zu kennzeichnen. |
| Urteil | microsoft.graph.security.evidenceVerdict | Die Entscheidung, die durch automatisierte Untersuchung getroffen wurde. Mögliche Werte sind: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue. |
detectionSource-Werte
| Wert | Beschreibung |
|---|---|
| Erkannt | Ein Produkt der ausgeführten Bedrohung wurde erkannt. |
| Blockiert | Die Bedrohung wurde zur Laufzeit behoben. |
| Verhindert | Die Bedrohung wurde verhindert (Ausführen, Herunterladen usw.). |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
evidenceRemediationStatus-Werte
| Member | Beschreibung |
|---|---|
| keine | Es wurden keine Bedrohungen gefunden. |
| Wiederhergestellt | Die Wartungsaktion wurde erfolgreich abgeschlossen. |
| Verhindert | Die Bedrohung wurde an der Ausführung gehindert. |
| Blockiert | Die Bedrohung wurde während der Ausführung blockiert. |
| Notfound | Der Beweis wurde nicht gefunden. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
evidenceRole-Werte
| Member | Beschreibung |
|---|---|
| unknown | Die Beweisrolle ist unbekannt. |
| Kontextbezogene | Eine Entität, die wahrscheinlich gutartig aufgetreten ist, aber als Nebeneffekt der Aktion eines Angreifers gemeldet wurde, z. B. wurde der gutartige services.exe Prozess verwendet, um einen schädlichen Dienst zu starten. |
| Gescannt | Eine Entität, die als Ziel von Ermittlungs- oder Reconnaissance-Aktionen identifiziert wurde, z. B. ein Portscanner, um ein Netzwerk zu scannen. |
| source | Die Entität, von der die Aktivität stammt, z. B. Gerät, Benutzer, IP-Adresse usw. |
| Ziel | Die Entität, an die die Aktivität gesendet wurde, z. B. Gerät, Benutzer, IP-Adresse usw. |
| erstellt | Die Entität wurde als Ergebnis der Aktionen eines Angreifers erstellt, z. B. wurde ein Benutzerkonto erstellt. |
| Hinzugefügt | Die Entität wurde als Ergebnis der Aktionen eines Angreifers hinzugefügt, z. B. wurde ein Benutzerkonto zu einer Berechtigungsgruppe hinzugefügt. |
| Gefährdet | Die Entität wurde kompromittiert und befindet sich unter der Kontrolle eines Angreifers, z. B. wurde ein Benutzerkonto kompromittiert und für die Anmeldung bei einem Clouddienst verwendet. |
| edited | Die Entität wurde von einem Angreifer bearbeitet oder geändert. Beispielsweise wurde der Registrierungsschlüssel für einen Dienst so bearbeitet, dass er auf den Speicherort einer neuen schädlichen Nutzlast verweist. |
| Angegriffen | Die Entität wurde angegriffen, z. B. wurde ein Gerät als Ziel eines DDoS-Angriffs verwendet. |
| Angreifer | Die Entität stellt den Angreifer dar, z. B. die IP-Adresse des Angreifers, die bei der Anmeldung bei einem Clouddienst mit einem kompromittierten Benutzerkonto beobachtet wurde. |
| commandAndControl | Die Entität wird für Befehle und Steuerungen verwendet, z. B. eine C2-Domäne (Command and Control), die von Schadsoftware verwendet wird. |
| Geladen | Die Entität wurde von einem Prozess unter der Kontrolle eines Angreifers geladen, z. B. wurde eine DLL in einen von Angreifern kontrollierten Prozess geladen. |
| Verdächtige | Die Entität wird verdächtigt, böswillig zu sein oder von einem Angreifer kontrolliert zu werden, wurde aber nicht inkriminiert. |
| policyViolator | Die Entität ist ein Verstoß gegen eine kundendefinierte Richtlinie. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
evidenceRemediationStatus-Werte
| Member | Beschreibung |
|---|---|
| unknown | Für die Beweise wurde kein Urteil festgestellt. |
| Verdächtige | Empfohlene Wartungsaktionen, die auf die Genehmigung warten. |
| Bösartige | Die Beweise wurden als böswillig eingestuft. |
| sauber | Es wurde keine Bedrohung erkannt - die Beweise sind gutartig. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
evidenceVerdict-Werte
| Member | Beschreibung |
|---|---|
| unknown | Für die Beweise wurde kein Urteil festgestellt. |
| Verdächtige | Empfohlene Wartungsaktionen, die auf die Genehmigung warten. |
| Bösartige | Die Beweise wurden als böswillig eingestuft. |
| noThreatsFound | Es wurde keine Bedrohung erkannt - die Beweise sind gutartig. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung zeigt den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für