Incidentressourcentyp
Namespace: microsoft.graph.security
Ein Incident in Microsoft 365 Defender ist eine Sammlung korrelierter Warnungsinstanzen und zugehöriger Metadaten, die die Geschichte eines Angriffs auf einen Mandanten widerspiegeln.
Microsoft 365-Dienste und -Anwendungen erstellen Warnungen, wenn sie ein verdächtiges oder bösartiges Ereignis oder eine Aktivität erkennen. Einzelne Warnungen bieten wertvolle Hinweise zu einem abgeschlossenen oder laufenden Angriff. Angriffe wenden jedoch in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten an, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind mehrere Warnungen für mehrere Entitäten in Ihrem Mandanten. Da es schwierig und zeitaufwändig sein kann, die einzelnen Warnungen zusammenzufassen, um Erkenntnisse zu einem Angriff zu erhalten, fasst Microsoft 365 Defender die Warnungen und die damit verbundenen Informationen automatisch zu einem Vorfall zusammen.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Auflisten von Vorfällen | microsoft.graph.security.incident collection | Rufen Sie eine Liste der Incidentobjekte ab, die Microsoft 365 Defender erstellt hat, um Angriffe in einem organization nachzuverfolgen. |
| Incident abrufen | microsoft.graph.security.incident | Lesen der Eigenschaften und Beziehungen eines Incidentobjekts . |
| Aktualisieren von Vorfällen | microsoft.graph.security.incident | Aktualisiert die Eigenschaften eines Incidentobjekts . |
| Erstellen eines Kommentars für incident | AlertComment | Erstellen Sie einen Kommentar für einen vorhandenen Incident basierend auf der angegebenen Incident-ID-Eigenschaft . |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| assignedTo | String | Besitzer des Incidents oder NULL, wenn kein Besitzer zugewiesen ist. Freier bearbeitbarer Text. |
| classification | microsoft.graph.security.alertClassification | Die Spezifikation für den Incident. Mögliche Werte: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| Kommentare | microsoft.graph.security.alertComment-Sammlung | Array von Kommentaren, die vom Security Operations -Team (SecOps) erstellt werden, wenn der Incident verwaltet wird. |
| createdDateTime | DateTimeOffset | Zeitpunkt, zu dem der Vorfall zum ersten Mal erstellt wurde. |
| customTags | String collection | Array von benutzerdefinierten Tags, die einem Incident zugeordnet sind. |
| description | String | Beschreibung des Vorfalls. |
| Bestimmung | microsoft.graph.security.alertDetermination | Gibt die Ermittlung des Incidents an. Mögliche Werte sind: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue. |
| displayName | String | Der Incidentname. |
| id | String | Eindeutiger Bezeichner zur Darstellung des Incidents. |
| incidentWebUrl | String | Die URL für die Incidentseite im Microsoft 365 Defender-Portal. |
| lastModifiedBy | String | Die Identität, die den Incident zuletzt geändert hat. |
| lastUpdateDateTime | DateTimeOffset | Zeitpunkt, zu dem der Vorfall zuletzt aktualisiert wurde. |
| redirectIncidentId | String | Wird nur für den Fall aufgefüllt, dass ein Incident mit einem anderen Incident gruppiert wird, als Teil der Logik, die Incidents verarbeitet. In einem solchen Fall ist redirecteddie eigenschaft status . |
| Schweregrad | alertSeverity | Gibt die möglichen Auswirkungen auf Ressourcen an. Je höher der Schweregrad, desto größer ist die Auswirkung. Elemente mit höherem Schweregrad erfordern in der Regel die unmittelbarste Aufmerksamkeit. Mögliche Werte sind: unknown, informational, low, medium, high und unknownFutureValue. |
| status | microsoft.graph.security.incidentStatus | Die status des Vorfalls. Mögliche Werte sind: active, resolved, inProgress, redirected, unknownFutureValueund awaitingAction. |
| tenantId | Zeichenfolge | Der Microsoft Entra Mandant, in dem die Warnung erstellt wurde. |
| systemTags | String-Sammlung | Die Systemtags, die dem Incident zugeordnet sind. |
| ResolvingComment | String | Benutzereingabe, die die Lösung des Incidents und die Klassifizierungsauswahl erläutert. Diese Eigenschaft enthält frei bearbeitbaren Text. |
incidentStatus-Werte
In der folgenden Tabelle sind die Elemente einer drehbaren Enumeration aufgeführt. Sie müssen den Anforderungsheader Prefer: include-unknown-enum-members verwenden, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: awaitingAction.
| Member | Beschreibung |
|---|---|
| aktiv | Der Incident befindet sich im aktiven Zustand. |
| resolved | Der Vorfall befindet sich im aufgelösten Zustand. |
| inProgress | Der Vorfall wird gerade entschärft. |
| Weitergeleitet | Der Vorfall wurde mit einem anderen Vorfall zusammengeführt. Die Zielvorfall-ID wird in der redirectIncidentId-Eigenschaft angezeigt. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
| awaitingAction | Dieser Vorfall erfordert Aktionen von Defender-Experten, die auf Ihre Aktion warten. Nur Microsoft 365 Defender-Experten können diese status festlegen. |
Beziehungen
| Beziehung | Typ | Beschreibung |
|---|---|---|
| Warnungen | microsoft.graph.security.alert-Sammlung | Die Liste der zugehörigen Warnungen. Unterstützt $expand. |
JSON-Darstellung
Die folgende JSON-Darstellung zeigt den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.security.incident",
"id": "String (identifier)",
"incidentWebUrl": "String",
"tenantId": "String",
"redirectIncidentId": "String",
"displayName": "String",
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"assignedTo": "String",
"classification": "String",
"determination": "String",
"status": "String",
"severity": "String",
"customTags": [
"String"
],
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"systemTags" : [
"String"
],
"description" : "String",
"lastModifiedBy": "String"
}
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für