tipo de recurso de alerta (preterido)
Namespace: microsoft.graph
Observação
A API de alertas herdados está preterida e será removida até abril de 2026. Recomendamos que você migre para a nova API de alertas e incidentes .
Esse recurso corresponde à primeira geração de alertas na API de segurança do Microsoft Graph, representando possíveis problemas de segurança no locatário de um cliente que a Microsoft ou uma solução de segurança de parceiro identifica.
Esse tipo de alerta federa a chamada de provedores de segurança do Azure e do Microsoft 365 Defender com suporte listados em Usar a API de segurança do Microsoft Graph. Ele agrega dados de alerta comuns entre os diferentes domínios para permitir que os aplicativos unifiquem e agilizem o gerenciamento de problemas de segurança em todas as soluções integradas.
Para saber mais, veja exemplos de consulta no Explorador de Gráfico.
Observação
Esse recurso é um dos dois tipos de alertas que a versão v1.0 da API de segurança do Microsoft Graph oferece. Para obter mais informações, confira alertas.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| Obter alerta | alert | Leia as propriedades e os relacionamentos do objeto de alerta. |
| Atualizar alertas | alert | Atualize um objeto de alerta. |
| Listar alertas | conjunto alerta | Obtenha uma coleção de objetos de alerta. |
Propriedades
| Propriedade | Tipo | Descrição | |
|---|---|---|---|
| activityGroupName | String | Nome ou alias do grupo de atividades (invasor) a que este alerta é atribuído. | |
| assignedTo | String | Nome do analista ao qual o alerta está atribuído para triagem, investigação ou remediação (suporta atualização). | |
| azureSubscriptionId | String | ID da assinatura do Azure, presente se o alerta estiver relacionado a um recurso do Azure. | |
| azureTenantId | String | Microsoft Entra ID do locatário. Obrigatório. | |
| category | Cadeia de caracteres | Categoria do alerta (por exemplo, credentialTheft, ransomware). | |
| closedDateTime | DateTimeOffset | Tempo em que o alerta foi fechado. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z (suporta atualização). |
|
| cloudAppStates | conjunto cloudAppSecurityState | Informações com estado relacionadas à segurança geradas pelo provedor sobre os aplicativos de nuvem relacionados a esse alerta. | |
| comentários | String collection | Comentários fornecidos pelo cliente no alerta (gerenciamento de alerta de cliente) (suporta atualização). | |
| confidence | Int32 | Confiança da lógica de detecção (porcentagem entre 1 e 100). | |
| createdDateTime | DateTimeOffset | Hora em que o alerta foi criado pelo provedor de alerta. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. Obrigatório. |
|
| description | String | Descrição de alerta. | |
| detectionIds | String collection | Conjunto de alertas relacionados a essa entidade de alerta (cada alerta é enviado ao SIEM como um registro separado). | |
| eventDateTime | DateTimeOffset | Tempo em que o evento ou eventos que serviram como o gatilho para gerar o alerta ocorreu. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. Obrigatório. |
|
| comentários | alertFeedback | Comentários do analista no alerta. Os valores possíveis são: unknown, truePositive, falsePositive, benignPositive. Dá suporte à atualização. |
|
| fileStates | fileSecurityState | Informações com estado relacionadas à segurança geradas pelo provedor sobre os arquivos relacionados a esse alerta. | |
| hostStates | Conjunto hostSecurityState | Informações com estado relacionadas à segurança geradas pelo provedor sobre o(s) host(s) relacionados a esse alerta. | |
| id | String | Identificador GUID/exclusivo gerado pelo provedor. Somente leitura. Obrigatório. | |
| incidentIds | Coleção de cadeias de caracteres | IDs de incidentes relacionados ao alerta atual. | |
| lastModifiedDateTime | DateTimeOffset | Hora na qual entidade alerta foi modificada pela última vez. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. |
|
| malwareStates | conjunto malwareState | Inteligência contra ameaças referentes ao malware relacionado a esse alerta. | |
| networkConnections | conjunto networkConnection | Informações com estado relacionadas à segurança geradas pelo provedor sobre as conexões de rede relacionadas a esse alerta. | |
| processos | conjunto processo | Informações com estado relacionadas à segurança geradas pelo provedor sobre o processo ou processos relacionados a esse alerta. | |
| recommendedActions | String collection | Ações recomendadas pelo provedor/fornecedor a serem tomadas como resultado do alerta (por exemplo, isolar máquina, enforce2FA, host de imagem de imagem). | |
| registryKeyStates | conjunto registryKeyState | Informações com estado relacionadas à segurança geradas pelo provedor sobre as chaves de registro relacionadas a esse alerta. | |
| securityResources | Coleção de securityResource | Recursos relacionados ao alerta atual. Por exemplo, para alguns alertas, isso pode ter o valor de recurso do Azure. | |
| severity | alertSeverity | Gravidade de alerta, definida pelo provedor/fornecedor. Os valores possíveis são: unknown, informational, low, medium, high. Obrigatório. |
|
| sourceMaterials | String collection | Hiperlinks (URIs) para o material de origem relacionado ao alerta, por exemplo, a interface do usuário do provedor para alertas ou pesquisa de log. | |
| status | alertStatus | Status de alerta de ciclo de vida (estágio). Os valores possíveis são: unknown, newAlert, inProgress, resolved. (suporta atualização). Obrigatório. |
|
| marcações | String collection | Rótulos defiráveis pelo usuário que podem ser aplicados a um alerta e podem servir como condições de filtro (por exemplo, "HVA", "SAW") (dá suporte à atualização). | |
| title | String | Título do alerta. Obrigatório. | |
| gatilhos | Conjunto alertTrigger | Informações de segurança sobre propriedades específicas que dispararam o alerta (Propriedades aparecendo no alerta). Os alertas podem conter informações sobre vários usuários hosts, arquivos, endereços ip. Este campo indica quais propriedades acionaram a geração de alertas. | |
| userStates | Conjunto userSecurityState | Informações com estado relacionadas à segurança geradas pelo provedor sobre as contas de usuários relacionadas a esse alerta. | |
| vendorInformation | securityVendorInformation | Tipo complexo que contém detalhes sobre o fornecedor, provedor e subprovedor de produtos / serviços de segurança (por exemplo, fornecedor = Microsoft; provedor = Windows Defender ATP; subProvedor = AppLocker). Obrigatório. | |
| vulnerabilityStates | conjunto vulnerabilityState | Inteligência de ameaças referente a uma ou mais vulnerabilidades relacionadas a este alerta. |
Relações
Nenhum
Representação JSON
A representação JSON a seguir mostra o tipo de recurso.
{
"activityGroupName": "String",
"assignedTo": "String",
"azureSubscriptionId": "String",
"azureTenantId": "String",
"category": "String",
"closedDateTime": "String (timestamp)",
"cloudAppStates": [{"@odata.type": "microsoft.graph.cloudAppSecurityState"}],
"comments": ["String"],
"confidence": 1024,
"createdDateTime": "String (timestamp)",
"description": "String",
"detectionIds": ["String"],
"eventDateTime": "String (timestamp)",
"feedback": "@odata.type: microsoft.graph.alertFeedback",
"fileStates": [{"@odata.type": "microsoft.graph.fileSecurityState"}],
"hostStates": [{"@odata.type": "microsoft.graph.hostSecurityState"}],
"id": "String (identifier)",
"incidentIds": ["String"],
"lastModifiedDateTime": "String (timestamp)",
"malwareStates": [{"@odata.type": "microsoft.graph.malwareState"}],
"networkConnections": [{"@odata.type": "microsoft.graph.networkConnection"}],
"processes": [{"@odata.type": "microsoft.graph.process"}],
"recommendedActions": ["String"],
"registryKeyStates": [{"@odata.type": "microsoft.graph.registryKeyState"}],
"securityResources": [{"@odata.type": "microsoft.graph.securityResource"}],
"severity": "@odata.type: microsoft.graph.alertSeverity",
"sourceMaterials": ["String"],
"status": "@odata.type: microsoft.graph.alertStatus",
"tags": ["String"],
"title": "String",
"triggers": [{"@odata.type": "microsoft.graph.alertTrigger"}],
"userStates": [{"@odata.type": "microsoft.graph.userSecurityState"}],
"vendorInformation": {"@odata.type": "microsoft.graph.securityVendorInformation"},
"vulnerabilityStates": [{"@odata.type": "microsoft.graph.vulnerabilityState"}]
}
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de