alert リソースの種類
名前空間: microsoft.graph.security
このリソースは、Microsoft Graph セキュリティ API によって生成されたアラートの最新のバッチに対応します。 このリソースは、Microsoft 365 Defender または Microsoft 365 Defender と統合されたセキュリティ プロバイダーが特定した、顧客のテナント内の潜在的なセキュリティの問題を表します。
セキュリティ プロバイダーが脅威を検出すると、システムにアラートが作成されます。 Microsoft 365 Defender は、セキュリティ プロバイダーからこのアラート データをプルし、アラート データを使用して、関連する攻撃、影響を受ける資産、および関連する証拠に関するアラート リソースに貴重な手掛かりを返します。 同じ攻撃手法または同じ攻撃者を持つ他のアラートを インシデント に自動的に関連付けて、攻撃のより広範なコンテキストを提供します。 この方法でアラートを集約すると、アナリストは脅威への総合的な調査や対応が簡単にできるようになります。
注:
このリソースは、v1.0 バージョンの Microsoft Graph セキュリティ API が提供する 2 種類のアラートのうちの 1 つです。 詳細については、「 アラート」を参照してください。
メソッド
| メソッド | 戻り値の種類 | 説明 |
|---|---|---|
| alerts_v2を一覧表示する | microsoft.graph.security.alert コレクション | organization内の不審なアクティビティを追跡するために作成されたアラート リソースの一覧を取得します。 |
| 警告の取得 | microsoft.graph.security.alert | 指定したアラート ID プロパティに基づいて、organization内のアラート オブジェクトのプロパティを取得します。 |
| 警告の更新 | microsoft.graph.security.alert | 指定したアラートID プロパティに基づいて、organization内のアラート オブジェクトのプロパティを更新します。 |
| アラートのコメントを作成する | alertComment | 指定した アラート ID プロパティに基づいて、既存のアラートのコメント を 作成します。 |
プロパティ
| プロパティ | 型 | 説明 | ||||
|---|---|---|---|---|---|---|
| actorDisplayName | String | このアラートに関連付けられている敵対者またはアクティビティ グループ。 | ||||
| additionalData | microsoft.graph.security.dictionary | ユーザー定義プロパティなど、他のアラート プロパティのコレクション。 アラートで定義されているカスタムの詳細と、アラートの詳細に含まれる動的コンテンツはここに格納されます。 | alertWebUrl | String | Microsoft 365 Defender ポータルのアラート ページの URL。 | |
| alertPolicyId | String | アラートを生成し、アラートを生成した特定のポリシーがある場合に設定されるポリシーの ID。顧客によって構成されているか、組み込みのポリシーによって構成されているか。 | ||||
| assignedTo | String | アラートの所有者。所有者が割り当てられていない場合は null。 | ||||
| category | String | アラートが属する攻撃キル チェーン カテゴリ。 MITRE ATT&CK フレームワークに合わせて調整されています。 | ||||
| classification | microsoft.graph.security.alertClassification | アラートが真の脅威を表すかどうかを指定します。 可能な値は、unknown、falsePositive、truePositive、informationalExpectedActivity、unknownFutureValue です。 |
||||
| comments | microsoft.graph.security.alertComment コレクション | アラート管理プロセス中にセキュリティ運用 (SecOps) チームによって作成されたコメントの配列。 | ||||
| createdDateTime | DateTimeOffset | Microsoft 365 Defender がアラートを作成した時刻。 | ||||
| 説明 | String | 各アラートを記述する文字列値。 | ||||
| detectionSource | microsoft.graph.security.detectionSource | 注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー。 使用できる値は、unknownsmartScreenmicrosoftDefenderForEndpointantivirus、customTi、microsoftDefenderForOffice365、、automatedInvestigation、、microsoftThreatExperts、customDetectionmicrosoft365DefendercloudAppSecuritymicrosoftDefenderForIdentitymicrosoftDefenderForDatabasesmicrosoftDefenderForContainersmicrosoftDefenderForNetworkmicrosoftDefenderForServersnrtAlertsmicrosoftDefenderForStoragemicrosoftSentinelmicrosoftDataLossPreventionmanualappGovernancePolicyappGovernanceDetectionunknownFutureValueazureAdIdentityProtectionmicrosoftDefenderForIoTmicrosoftDefenderForDNSmicrosoftDefenderForCloudmicrosoftDefenderForApiManagementmicrosoftDefenderForResourceManagermicrosoftDefenderForAppServicemicrosoftDefenderForKeyVault、scheduledAlerts、 microsoftDefenderThreatIntelligenceAnalyticsbuiltInMlです。 要求ヘッダーをPrefer: include-unknown-enum-members使用して、この進化可能な列挙型で次の値を取得する必要があります。 microsoftDefenderForCloudmicrosoftDefenderForIoTmicrosoftDefenderForServersmicrosoftDefenderForStoragemicrosoftDefenderForDNSmicrosoftDefenderForDatabasesmicrosoftDefenderForContainersmicrosoftDefenderForNetworkmicrosoftDefenderForAppServicemicrosoftDefenderForKeyVaultmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalyticsbuiltInMl |
||||
| detectorId | String | アラートをトリガーした検出機能の ID。 | ||||
| 決定 | microsoft.graph.security.alertDetermination | 調査の結果、アラートが真の攻撃を表しているかどうか、その場合は攻撃の性質を指定します。 可能な値は、unknown、apt、malware、securityPersonnel、securityTesting、unwantedSoftware、other、multiStagedAttack、compromisedUser、phishing、maliciousUserActivity、clean、insufficientData、confirmedUserActivity、lineOfBusinessApplication、unknownFutureValue です。 |
||||
| 証拠 | microsoft.graph.security.alertEvidence コレクション | アラートに関連する証拠の収集。 | ||||
| firstActivityDateTime | DateTimeOffset | アラートに関連付けられている最も古いアクティビティ。 | ||||
| id | String | アラート リソースを表す一意の識別子。 | ||||
| incidentId | String | このアラート リソースが関連付けられているインシデントを表す一意の識別子。 | ||||
| incidentWebUrl | String | Microsoft 365 Defender ポータルのインシデント ページの URL。 | ||||
| lastActivityDateTime | DateTimeOffset | アラートに関連付けられている最も古いアクティビティ。 | ||||
| lastUpdateDateTime | DateTimeOffset | Microsoft 365 Defender でアラートが最後に更新された時刻。 | ||||
| mitreTechniques | Collection(Edm.String) | 攻撃手法は、MITRE ATT&CK フレームワークに合わせて調整されます。 | ||||
| providerAlertId | String | アラートを生成したセキュリティ プロバイダー製品に表示されるアラートの ID。 | ||||
| recommendedActions | String | このアラートが生成された場合に実行する推奨応答と修復アクション。 | ||||
| resolvedDateTime | DateTimeOffset | アラートが解決された時刻。 | ||||
| serviceSource | microsoft.graph.security.serviceSource | このアラートを作成したサービスまたは製品。 可能な値は、unknown、microsoftDefenderForEndpoint、microsoftDefenderForIdentity、microsoftDefenderForCloudApps、microsoftDefenderForOffice365、microsoft365Defender、azureAdIdentityProtection、microsoftAppGovernance、dataLossPrevention、unknownFutureValue、microsoftDefenderForCloud、microsoftSentinel です。 要求ヘッダーを使用して、Prefer: include-unknown-enum-membersこの進化可能な列挙型で次の値を取得する必要があります。 microsoftDefenderForCloudmicrosoftSentinel |
||||
| severity | microsoft.graph.security.alertSeverity | 資産に与える可能性のある影響を示します。 重大度が高いほど、影響が大きくなります。 通常、重大度が高い項目では、最も早い注意が必要です。 使用可能な値: unknown、informational、low、medium、high、unknownFutureValue。 |
||||
| status | microsoft.graph.security.alertStatus | アラートの状態。 使用可能な値: new、inProgress、resolved、unknownFutureValue。 |
||||
| tenantId | String | アラートが作成されたMicrosoft Entra テナント。 | ||||
| threatDisplayName | String | このアラートに関連付けられている脅威。 | ||||
| threatFamilyName | String | このアラートに関連付けられている脅威ファミリ。 | ||||
| title | String | アラートを説明する文字列値を簡単に識別します。 | ||||
| systemTags | String collection | アラートに関連付けられているシステム タグ。 |
alertClassification 値
| メンバー | 説明 |
|---|---|
| 不明 | アラートはまだ分類されていません。 |
| falsePositive | アラートは誤検知であり、悪意のあるアクティビティを検出しませんでした。 |
| truePositive | アラートは真陽性であり、検出された悪意のあるアクティビティです。 |
| informationalExpectedActivity | アラートは問題のない陽性であり、信頼された内部ユーザー (セキュリティ テストなど) によって悪意のある可能性のあるアクティビティが検出されます。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
alertDetermination 値
| メンバー | 説明 |
|---|---|
| 不明 | 決定値がまだ設定されていません。 |
| Apt | 高度な永続的な脅威を検出した真の肯定的なアラート。 |
| マルウェア | 悪意のあるソフトウェアを検出した真の肯定的なアラート。 |
| securityPersonnel | 顧客のセキュリティ チームの誰かが実行した有効な不審なアクティビティを検出した真の肯定的なアラート。 |
| securityTesting | 既知のセキュリティ テストの一環として実行された有効な疑わしいアクティビティが検出されました。 |
| unwantedSoftware | アラートで不要なソフトウェアが検出されました。 |
| multiStagedAttack | 複数のキルチェーン攻撃ステージを検出した真陽性アラート。 |
| compromisedAccount | 目的のユーザーの資格情報が侵害または盗まれたことを検出した真の肯定的なアラート。 |
| フィッシング詐欺 | フィッシングメールを検出した真陽性のアラート。 |
| maliciousUserActivity | ログオンしているユーザーが悪意のあるアクティビティを実行することを検出した真陽性のアラート。 |
| notMalicious | 誤ったアラート。疑わしいアクティビティはありません。 |
| notEnoughDataToValidate | それ以外の場合は証明するのに十分な情報を含まない、誤ったアラート。 |
| confirmedActivity | アラートは、既知のユーザー アクティビティであるため、OK と見なされる真の疑わしいアクティビティをキャッチしました。 |
| lineOfBusinessApplication | アラートは、既知の確認済みの内部アプリケーションであるため、OK と見なされる真の疑わしいアクティビティをキャッチしました。 |
| 他 | その他の決定。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
alertSeverity 値
| メンバー | 説明 |
|---|---|
| 不明 | 不明な重大度。 |
| 情報 | アクション可能ではないか、ネットワークに有害と見なされる可能性があるが、潜在的なセキュリティの問題に対する組織のセキュリティ認識を促進する可能性があるアラート。 |
| 低 | 一般的なマルウェアに関連する脅威に関するアラート。 たとえば、ハッキング ツール、探索コマンドの実行やログのクリアなど、マルウェア以外のハッキング ツールは、多くの場合、organizationを対象とする高度な脅威を示していません。 また、organizationのユーザーがテストしている分離されたセキュリティ ツールから取得することもできます。 |
| medium | 高度な永続的な脅威 (APT) の一部である可能性がある検出と応答の侵害後の動作から生成されたアラート。 この重大度レベルには、攻撃ステージの一般的な動作、異常なレジストリの変更、疑わしいファイルの実行などが含まれます。 内部セキュリティ テストによるものもありますが、高度な攻撃の一部である可能性があるため、有効な検出であり、調査が必要です。 |
| 高 | 高度な永続的な脅威 (APT) に関連付けられている一般的なアラート。 これらのアラートは、資産に与える損害の重大度が高いため、リスクが高いことを示します。 たとえば、資格情報の盗難ツールアクティビティ、グループに関連付けられていないランサムウェア アクティビティ、セキュリティ センサーの改ざん、または人間の敵対者を示す悪意のあるアクティビティなどがあります。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
alertStatus 値
| メンバー | 説明 |
|---|---|
| 不明 | 不明な状態。 |
| 新機能 | 新しいアラート。 |
| inProgress | アラートは軽減の進行中です。 |
| 解決済み | アラートは解決済みの状態です。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
serviceSource 値
| 値 | 説明 |
|---|---|
| 不明 | 不明なサービス ソース。 |
| microsoftDefenderForEndpoint | Microsoft Defender for Endpoint。 |
| microsoftDefenderForIdentity | Microsoft Defender for Identity。 |
| microsoftDefenderForCloudApps | Microsoft Defender for Cloud Apps。 |
| microsoftDefenderForOffice365 | Office365 のMicrosoft Defender。 |
| microsoft365Defender | Microsoft 365 Defender。 |
| azureAdIdentityProtection | Microsoft Entra ID 保護。 |
| microsoftAppGovernance | Microsoft アプリ ガバナンス。 |
| dataLossPrevention | Microsoft Purview データ損失防止。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
| microsoftDefenderForCloud | Microsoft Defender for Cloud |
| microsoftSentinel | Microsoft Sentinel |
detectionSource 値
| 値 | 説明 |
|---|---|
| 不明 | 不明な検出ソース。 |
| microsoftDefenderForEndpoint | エンドポイントのMicrosoft Defender。 |
| ウイルス対策 | ウイルス対策ソフトウェア。 |
| Smartscreen | SmartScreen をMicrosoft Defenderします。 |
| customTi | カスタム脅威インテリジェンス。 |
| microsoftDefenderForOffice365 | Microsoft Defender for Office 365。 |
| automatedInvestigation | 自動調査。 |
| microsoftThreatExperts | Microsoft 脅威エキスパート。 |
| customDetection | カスタム検出。 |
| microsoftDefenderForIdentity | Microsoft Defender for Identity。 |
| cloudAppSecurity | クラウド アプリのセキュリティ。 |
| microsoft365Defender | Microsoft 365 Defender。 |
| azureAdIdentityProtection | Microsoft Entra ID 保護。 |
| 手動 | 手動による検出。 |
| microsoftDataLossPrevention | Microsoft Purview データ損失防止。 |
| appGovernancePolicy | アプリ ガバナンス ポリシー。 |
| appGovernanceDetection | アプリ ガバナンスの検出。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
| microsoftDefenderForCloud | Microsoft Defender for Cloud |
| microsoftDefenderForIoT | Microsoft Defender for IoT。 |
| microsoftDefenderForServers | サーバーのMicrosoft Defender。 |
| microsoftDefenderForStorage | ストレージのMicrosoft Defender。 |
| microsoftDefenderForDNS | DNS のMicrosoft Defender。 |
| microsoftDefenderForDatabases | データベースのMicrosoft Defender。 |
| microsoftDefenderForContainers | コンテナーのMicrosoft Defender。 |
| microsoftDefenderForNetwork | ネットワークのMicrosoft Defender。 |
| microsoftDefenderForAppService | App ServiceのMicrosoft Defender。 |
| microsoftDefenderForKeyVault | Key VaultのMicrosoft Defender。 |
| microsoftDefenderForResourceManager | Resource ManagerのMicrosoft Defender。 |
| microsoftDefenderForApiManagement | api Management のMicrosoft Defender。 |
| microsoftSentinel | Microsoft Sentinel |
| nrtAlerts | Sentinel NRT アラート。 |
| scheduledAlerts | Sentinel のスケジュールされたアラート。 |
| microsoftDefenderThreatIntelligenceAnalytics | Sentinel 脅威インテリジェンス アラート。 |
| builtInMl | Sentinel 組み込み ML。 |
リレーションシップ
なし。
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示