type de ressource d’alerte (déconseillé)
Espace de noms: microsoft.graph
Remarque
L’API d’alertes héritées est déconseillée et sera supprimée d’ici avril 2026. Nous vous recommandons de migrer vers la nouvelle API d’alertes et d’incidents .
Cette ressource correspond à la première génération d’alertes dans l’API de sécurité Microsoft Graph, représentant des problèmes de sécurité potentiels au sein du locataire d’un client identifiés par Microsoft ou une solution de sécurité partenaire.
Ce type d’alertes fédère l’appel des fournisseurs de sécurité Azure et Microsoft 365 Defender pris en charge répertoriés dans Utiliser l’API de sécurité Microsoft Graph. Il regroupe les données d’alerte courantes entre les différents domaines pour permettre aux applications d’unifier et de simplifier la gestion des problèmes de sécurité dans toutes les solutions intégrées.
Pour plus d’informations, voir les exemples de requêtes dans l’Explorateur Graph.
Remarque
Cette ressource est l’un des deux types d’alertes qu’offre la version v1.0 de l’API de sécurité Microsoft Graph. Pour plus d’informations, consultez alertes.
Méthodes
| Méthode | Type renvoyé | Description |
|---|---|---|
| Obtenir une alerte | alert | Lire les propriétés et les relations d’un objet alerte. |
| Mettre à jour une alerte | alert | Mettre à jour un objet alerte. |
| Répertorier les alertes | collectionalert | Obtient une collection d’objets alerte. |
Propriétés
| Propriété | Type | Description | |
|---|---|---|---|
| activityGroupName | Chaîne | Nom ou alias du groupe activité (utilisateur malveillant) auquel cette alerte est attribuée. | |
| assignedTo | String | Nom de l’analyste auquel l’alerte est affectée pour tri, examen ou remédiation (prend en charge mettre à jour). | |
| azureSubscriptionId | Chaîne | ID de l’abonnement Azure, présent si cette alerte est liée à une ressource Azure. | |
| azureTenantId | Chaîne | Microsoft Entra l’ID de locataire. Obligatoire. | |
| category | String | Catégorie de l’alerte (par exemple, credentialTheft, ransomware). | |
| closedDateTime | DateTimeOffset | Heure à laquelle l’alerte a été fermée. Le type Horodatage représente les informations de date et d’heure au moyen du format ISO 8601 et est toujours indiqué au format UTC. Par exemple, le 1er janvier 2014 à minuit UTC est représenté comme suit : 2014-01-01T00:00:00Z (mise à jour prise en charge). |
|
| cloudAppStates | CollectioncloudAppSecurityState | Informations de sécurité générées par le fournisseur sur l’application/s cloud liée à cette alerte. | |
| commentaires | Collection de chaîne | Commentaires client fournis sur alerte (pour la gestion alerte client) (prend en charge mise à jour). | |
| confiance | Int32 | Confiance de la logique de détection (pourcentage entre 1 et 100). | |
| createdDateTime | DateTimeOffset | Heure à laquelle l’alerte a été créé par le fournisseur d’alerte. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. Obligatoire. |
|
| description | String | Description de l’alerte. | |
| detectionIds | Collection de chaîne | Ensemble d’alertes relatives à cette entité alerte (chaque alerte est transmise au SIEM comme enregistrement séparé). | |
| eventDateTime | DateTimeOffset | Heure à laquelle l’événement ou les événements qui ont servi de déclencheur pour générer l’alerte se sont produits. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. Obligatoire. |
|
| commentaires | alertFeedback | Commentaires analyste sur l’alerte. Les valeurs possibles sont les suivantes : unknown, truePositive, falsePositive, benignPositive. Prend en charge la mise à jour. |
|
| fileStates | collectionfileSecurityState | Informations de sécurité générées par le fournisseur sur le(s) fichier(s) lié(s) à cette alerte. | |
| hostStates | collectionhostSecurityState | Informations de sécurité générées par le fournisseur sur l’hôte(s) lié(s) à cette alerte. | |
| id | String | Identificateur unique/GUID généré par le fournisseur. En lecture seule. Obligatoire. | |
| incidentIds | String collection | IDs des incidents liés à l’alerte actuelle. | |
| lastModifiedDateTime | DateTimeOffset | Heure à laquelle l’entité alerte a été modifié en dernier. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. |
|
| malwareStates | collectionmalwareState | Veille contre les menaces relatives aux programmes malveillants liés à cette alerte. | |
| networkConnections | collectionnetworkConnection | Informations de sécurité générées par le fournisseur sur la connexion réseau liée à cette alerte. | |
| Processus | collectionprocessus | Informations de sécurité générées par le fournisseur sur le(s) processus lié(s) à cette alerte. | |
| recommendedActions | Collection de chaîne | Action(s) recommandée(s) vendeur/fournisseur suite à l’alerte (par exemple, machine isoler, enforce2FA, créer nouvelle image). | |
| registryKeyStates | collectionregistryKeyState | Informations de sécurité générées par le fournisseur sur les clés de registre liées à cette alerte. | |
| securityResources | colldectkion securityResource | Ressources liées à l’alerte actuelle. Par exemple, pour certaines alertes, cette valeur peut avoir la valeur Ressource Azure. | |
| Sévérité | alertSeverity | Gravité d’alerte - définie par vendeur/fournisseur. Les valeurs possibles sont les suivantes : unknown, informational, low, medium, high. Obligatoire. |
|
| sourceMaterials | Collection de chaîne | Liens hypertexte (URI) vers le matériel source lié à l’alerte, par exemple l’interface utilisateur du fournisseur pour les alertes ou la recherche dans les journaux. | |
| statut | alertStatus | État d’alerte sur le cycle de vie (étape). Les valeurs possibles sont les suivantes : unknown, newAlert, inProgress, resolved. (prend en charge mettre à jour) Obligatoire. |
|
| étiquettes | String collection | Étiquettes définissables par l’utilisateur qui peuvent être appliquées à une alerte et peuvent servir de conditions de filtre (par exemple, « HVA », « SAW ») (prend en charge la mise à jour). | |
| title | String | Titre de l’alerte. Obligatoire. | |
| Déclencheurs | collectionalertTrigger | Informations de sécurité sur les propriétés spécifiques qui ont déclenché l’alerte (propriétés s’affichant dans l’alerte). Les alertes peuvent contenir des informations sur plusieurs utilisateurs, hosts, fichiers, adresses ip. Ce champ indique quelles propriétés déclenchent la génération d’alerte. | |
| userStates | collectionuserSecurityState | Informations de sécurité générées par le fournisseur sur les comptes utilisateurs liés à cette alerte. | |
| vendorInformation | securityVendorInformation | Type complexe contenant des détails sur le fournisseur produit/service de sécurité, le fournisseur et sous-fournisseur (par exemple, vendeur = Microsoft ; fournisseur = Windows Defender ATP ; sous-fournisseur = AppLocker). Obligatoire. | |
| vulnerabilityStates | collectionvulnerabilityState | Veille contre les menaces relatives à une ou plus vulnérabilités liées à cette alerte. |
Relations
Aucun.
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"activityGroupName": "String",
"assignedTo": "String",
"azureSubscriptionId": "String",
"azureTenantId": "String",
"category": "String",
"closedDateTime": "String (timestamp)",
"cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
"comments": ["String"],
"confidence": 1024,
"createdDateTime": "String (timestamp)",
"description": "String",
"detectionIds": ["String"],
"eventDateTime": "String (timestamp)",
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
"hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
"id": "String (identifier)",
"incidentIds": ["String"],
"lastModifiedDateTime": "String (timestamp)",
"malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
"networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
"processes": [{"@odata.type": "microsoft.graph.process"}],
"recommendedActions": ["String"],
"registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
"securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"sourceMaterials": ["String"],
"status": "@odata.type: microsoft.graph.alertStatus",
"tags": ["String"],
"title": "String",
"triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
"userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
"vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
"vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour