type de ressource alerte

Espace de noms: microsoft.graph

Représente les éventuels problèmes de sécurité au sein du client identifiés par Microsoft ou un partenaire de solutions de sécurité. Utiliser les alertes permet d’unifier et simplifier la gestion de problème de sécurité au sein de toutes les solutions intégrées. Pour plus d’informations, voir les exemples de requêtes dans l’Explorateur Graph.

Les alertes peuvent être récupérées à partir de fournisseurs de sécurité différents répertoriés dans la vue d’ensemble sécurité de Microsoft Graph.

Méthodes

Méthode Type renvoyé Description
Obtenir une alerte alert Lire les propriétés et les relations d’un objet alerte.
Mettre à jour une alerte alert Mettre à jour un objet alerte.
Répertorier les alertes collectionalert Obtient une collection d’objets alerte.

Propriétés

Propriété Type Description
activityGroupName Chaîne Nom ou alias du groupe activité (utilisateur malveillant) auquel cette alerte est attribuée.
assignedTo String Nom de l’analyste auquel l’alerte est affectée pour tri, examen ou remédiation (prend en charge mettre à jour).
azureSubscriptionId Chaîne ID de l’abonnement Azure, présent si cette alerte est liée à une ressource Azure.
azureTenantId Chaîne ID du client Azure Active Directory. Obligatoire.
category String Catégorie de l’alerte (par exemple, credentialTheft, rançongiciel, etc.).
closedDateTime DateTimeOffset Heure à laquelle l’alerte a été fermée. Le type Horodatage représente les informations de date et d’heure au moyen du format ISO 8601 et est toujours indiqué au format UTC. Par exemple, le 1er janvier 2014 à minuit UTC est représenté comme suit : 2014-01-01T00:00:00Z (mise à jour prise en charge).
cloudAppStates CollectioncloudAppSecurityState Informations de sécurité générées par le fournisseur sur l’application/s cloud liée à cette alerte.
commentaires Collection de chaîne Commentaires client fournis sur alerte (pour la gestion alerte client) (prend en charge mise à jour).
confiance Int32 Confiance de la logique de détection (pourcentage entre 1 et 100).
createdDateTime DateTimeOffset Heure à laquelle l’alerte a été créé par le fournisseur d’alerte. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. Obligatoire.
description String Description de l’alerte.
detectionIds Collection de chaîne Ensemble d’alertes relatives à cette entité alerte (chaque alerte est transmise au SIEM comme enregistrement séparé).
eventDateTime DateTimeOffset Heure à partir de laquelle le ou les événements déclencheurs ont généré l’alerte qui s’est produite. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. Obligatoire.
commentaires alertFeedback Commentaires analyste sur l’alerte. Les valeurs possibles sont les suivantes : unknown, truePositive, falsePositive, benignPositive. (prend en charge mettre à jour)
fileStates collectionfileSecurityState Informations de sécurité générées par le fournisseur sur le(s) fichier(s) lié(s) à cette alerte.
hostStates collectionhostSecurityState Informations de sécurité générées par le fournisseur sur l’hôte(s) lié(s) à cette alerte.
id String Identificateur unique/GUID généré par le fournisseur. En lecture seule. Obligatoire.
incidentIds String collection IDs des incidents liés à l’alerte actuelle.
lastModifiedDateTime DateTimeOffset Heure à laquelle l’entité alerte a été modifié en dernier. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z.
malwareStates collectionmalwareState Veille contre les menaces relatives aux programmes malveillants liés à cette alerte.
networkConnections collectionnetworkConnection Informations de sécurité générées par le fournisseur sur la connexion réseau liée à cette alerte.
Processus collectionprocessus Informations de sécurité générées par le fournisseur sur le(s) processus lié(s) à cette alerte.
recommendedActions Collection de chaîne Action(s) recommandée(s) vendeur/fournisseur suite à l’alerte (par exemple, machine isoler, enforce2FA, créer nouvelle image).
registryKeyStates collectionregistryKeyState Informations de sécurité générées par le fournisseur sur les clés de registre liées à cette alerte.
securityResources colldectkion securityResource Ressources associées à l’alerte actuelle. Par exemple, pour certaines alertes, cette valeur peut avoir la valeur Ressource Azure.
Sévérité alertSeverity Gravité d’alerte - définie par vendeur/fournisseur. Les valeurs possibles sont les suivantes : unknown, informational, low, medium, high. Obligatoire.
sourceMaterials Collection de chaîne Des liens hypertexte (URI) vers le matériel source lié à l’alerte, par exemple, interface utilisateur du fournisseur pour les alertes ou recherche dans le journal, etc.
statut alertStatus État d’alerte sur le cycle de vie (étape). Les valeurs possibles sont les suivantes : unknown, newAlert, inProgress, resolved. (prend en charge mettre à jour) Obligatoire.
étiquettes String collection Étiquettes définies par l’utilisateur qui peuvent être appliqués à une alerte et peuvent servir de conditions de filtre (par exemple « Rigoureuse », « Vu », etc.) (prend en charge mettre à jour).
title String Titre de l’alerte. Obligatoire.
Déclencheurs collectionalertTrigger Informations de sécurité sur les propriétés spécifiques qui ont déclenché l’alerte (propriétés s’affichant dans l’alerte). Les alertes peuvent contenir des informations sur plusieurs utilisateurs, hosts, fichiers, adresses ip. Ce champ indique quelles propriétés déclenchent la génération d’alerte.
userStates collectionuserSecurityState Informations de sécurité générées par le fournisseur sur les comptes utilisateurs liés à cette alerte.
vendorInformation securityVendorInformation Type complexe contenant des détails sur le fournisseur produit/service de sécurité, le fournisseur et sous-fournisseur (par exemple, vendeur = Microsoft ; fournisseur = Windows Defender ATP ; sous-fournisseur = AppLocker). Obligatoire.
vulnerabilityStates collectionvulnerabilityState Veille contre les menaces relatives à une ou plus vulnérabilités liées à cette alerte.

Relations

Aucun.

Représentation JSON

Voici une représentation JSON de la ressource.

{
  "activityGroupName": "String",
  "assignedTo": "String",
  "azureSubscriptionId": "String",
  "azureTenantId": "String",
  "category": "String",
  "closedDateTime": "String (timestamp)",
  "cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
  "comments": ["String"],
  "confidence": 1024,
  "createdDateTime": "String (timestamp)",
  "description": "String",
  "detectionIds": ["String"],
  "eventDateTime": "String (timestamp)",
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
  "hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
  "id": "String (identifier)",
  "incidentIds": ["String"],
  "lastModifiedDateTime": "String (timestamp)",
  "malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
  "networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
  "processes": [{"@odata.type": "microsoft.graph.process"}],
  "recommendedActions": ["String"],
  "registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
  "securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
  "severity": "@odata.type: microsoft.graph.alertSeverity",
  "sourceMaterials": ["String"],
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": ["String"],
  "title": "String",
  "triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
  "userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
  "vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
  "vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}