tipo de alerta do recurso
Namespace: microsoft.graph.security
Esse recurso corresponde ao lote mais recente de alertas gerados pela API de segurança do Microsoft Graph. Esse recurso representa possíveis problemas de segurança dentro do locatário de um cliente identificado pelo Microsoft 365 Defender ou um provedor de segurança integrado ao Microsoft 365 Defender.
Quando um provedor de segurança detecta uma ameaça, ele cria um alerta no sistema. O Microsoft 365 Defender retira esses dados de alerta do provedor de segurança e consome os dados de alerta para retornar pistas valiosas em um recurso de alerta sobre qualquer ataque relacionado, ativos afetados e evidências associadas. Ele correlaciona automaticamente outros alertas com as mesmas técnicas de ataque ou o mesmo invasor em um incidente para fornecer um contexto mais amplo de um ataque. Agregar alertas dessa maneira ajuda os analistas a investigar e responder a ameaças coletivamente.
Observação
Esse recurso é um dos dois tipos de alertas que a versão v1.0 da API de segurança do Microsoft Graph oferece. Para obter mais informações, confira alertas.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| Listar alerts_v2 | coleção microsoft.graph.security.alert | Obtenha uma lista de recursos de alerta criados para acompanhar atividades suspeitas em uma organização. |
| Obter alerta | microsoft.graph.security.alert | Obtenha as propriedades de um objeto de alerta em uma organização com base na propriedade de id de alerta especificada. |
| Atualizar alertas | microsoft.graph.security.alert | Atualize as propriedades de um objeto de alerta em uma organização com base na propriedade de ID de alerta especificada. |
| Criar comentário para alerta | alertComment | Crie um comentário para um alerta existente com base na propriedade de id de alerta especificada. |
Propriedades
| Propriedade | Tipo | Descrição | ||||
|---|---|---|---|---|---|---|
| actorDisplayName | Cadeia de caracteres | O adversário ou o grupo de atividades associados a esse alerta. | ||||
| additionalData | microsoft.graph.security.dictionary | Uma coleção de outras propriedades de alerta, incluindo propriedades definidas pelo usuário. Todos os detalhes personalizados definidos no alerta e qualquer conteúdo dinâmico nos detalhes do alerta são armazenados aqui. | alertWebUrl | Cadeia de caracteres | URL da página de alerta do portal do Microsoft 365 Defender. | |
| alertPolicyId | Cadeia de caracteres | A ID da política que gerou o alerta e foi preenchida quando há uma política específica que gerou o alerta, seja configurada por um cliente ou por uma política interna. | ||||
| assignedTo | Cadeia de caracteres | Proprietário do alerta ou nulo se nenhum proprietário for atribuído. | ||||
| category | Cadeia de caracteres | A categoria de cadeia de ataque à qual o alerta pertence. Alinhado com a estrutura do MITRE ATT&CK. | ||||
| classificação | microsoft.graph.security.alertClassification | Especifica se o alerta representa uma ameaça verdadeira. Os valores possíveis são: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
||||
| comentários | coleção microsoft.graph.security.alertComment | Matriz de comentários criados pela equipe de Operações de Segurança (SecOps) durante o processo de gerenciamento de alertas. | ||||
| createdDateTime | DateTimeOffset | Hora em que o Microsoft 365 Defender criou o alerta. | ||||
| description | Cadeia de caracteres | Valor de cadeia de caracteres que descreve cada alerta. | ||||
| detectionSource | microsoft.graph.security.detectionSource | Tecnologia de detecção ou sensor que identificou o componente ou atividade notável. Os valores possíveis são: unknown, , microsoftDefenderForEndpoint, antivirus, smartScreen, customTi, automatedInvestigationmicrosoftDefenderForOffice365, customDetectionazureAdIdentityProtectionmicrosoftThreatExpertsmicrosoftDefenderForDatabasesmicrosoftDefenderForContainersmicrosoftDefenderForNetworkmicrosoftDefenderForDNSmicrosoftDefenderForServersmicrosoftDefenderForKeyVaultmicrosoftDefenderForIoTcloudAppSecuritymicrosoft365DefendermanualmicrosoftDataLossPreventionmicrosoftDefenderForIdentityunknownFutureValuemicrosoftDefenderForAppServicemicrosoftDefenderForStorageappGovernancePolicyappGovernanceDetectionmicrosoftDefenderForResourceManagermicrosoftDefenderForCloud, , , microsoftDefenderForApiManagementmicrosoftSentinel, , nrtAlerts, scheduledAlerts, , . microsoftDefenderThreatIntelligenceAnalyticsbuiltInMl Você deve usar o Prefer: include-unknown-enum-members cabeçalho de solicitação para obter os seguintes valores neste enumerável em evolução: microsoftDefenderForCloud, , microsoftDefenderForServersmicrosoftDefenderForIoT, microsoftDefenderForStorage, , microsoftDefenderForNetworkmicrosoftDefenderForContainersmicrosoftDefenderForDNSmicrosoftDefenderForDatabasesmicrosoftDefenderForAppService, , microsoftDefenderForKeyVault, microsoftDefenderForResourceManager, , microsoftDefenderForApiManagement, , microsoftSentinelnrtAlerts, , , scheduledAlerts, microsoftDefenderThreatIntelligenceAnalytics, . builtInMl |
||||
| detectorId | Cadeia de caracteres | A ID do detector que disparou o alerta. | ||||
| Determinação | microsoft.graph.security.alertDeterminação | Especifica o resultado da investigação, se o alerta representa um verdadeiro ataque e, se for o caso, a natureza do ataque. Os valores possíveis são: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue. |
||||
| Provas | coleção microsoft.graph.security.alertEvidence | Coleção de evidências relacionadas ao alerta. | ||||
| firstActivityDateTime | DateTimeOffset | A atividade mais antiga associada ao alerta. | ||||
| id | Cadeia de caracteres | Identificador exclusivo para representar o recurso de alerta . | ||||
| incidentId | Cadeia de caracteres | Identificador exclusivo para representar o incidente ao qual esse recurso de alerta está associado. | ||||
| incidentWebUrl | Cadeia de caracteres | URL da página de incidentes no portal do Microsoft 365 Defender. | ||||
| lastActivityDateTime | DateTimeOffset | A atividade mais antiga associada ao alerta. | ||||
| lastUpdateDateTime | DateTimeOffset | Hora em que o alerta foi atualizado pela última vez no Microsoft 365 Defender. | ||||
| mitreTechniques | Collection(Edm.String) | As técnicas de ataque, alinhadas com a estrutura do MITRE ATT&CK. | ||||
| providerAlertId | Cadeia de caracteres | A ID do alerta conforme ele aparece no produto do provedor de segurança que gerou o alerta. | ||||
| recommendedActions | Cadeia de caracteres | Ações recomendadas de resposta e correção a serem executadas no caso de esse alerta ter sido gerado. | ||||
| resolvedDateTime | DateTimeOffset | Hora em que o alerta foi resolvido. | ||||
| serviceSource | microsoft.graph.security.serviceSource | O serviço ou o produto que criou esse alerta. Os valores possíveis são: unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud, microsoftSentinel. Você deve usar o Prefer: include-unknown-enum-members cabeçalho de solicitação para obter os seguintes valores neste enumerável em evolução: microsoftDefenderForCloud, microsoftSentinel. |
||||
| severity | microsoft.graph.security.alertSeverity | Indica o possível impacto sobre os ativos. Quanto maior a gravidade, maior o impacto. Normalmente, itens de maior gravidade exigem a atenção mais imediata. Os possíveis valores são: unknown, informational, low, medium, high, unknownFutureValue. |
||||
| status | microsoft.graph.security.alertStatus | O status do alerta. Os valores possíveis são: new, inProgress, resolved, unknownFutureValue. |
||||
| tenantId | String | O locatário Microsoft Entra em que o alerta foi criado. | ||||
| threatDisplayName | Cadeia de caracteres | A ameaça associada a esse alerta. | ||||
| threatFamilyName | Cadeia de caracteres | Família de ameaças associada a esse alerta. | ||||
| title | Cadeia de caracteres | Breve identificação do valor da cadeia de caracteres que descreve o alerta. | ||||
| systemTags | String collection | As marcas do sistema associadas ao alerta. |
valores de alertClassification
| Member | Descrição |
|---|---|
| desconhecido | O alerta ainda não foi classificado. |
| falsePositive | O alerta é um falso positivo e não detectou atividade mal-intencionada. |
| truePositive | O alerta é verdadeiro positivo e detectou atividade mal-intencionada. |
| informationalExpectedActivity | O alerta é positivo benigno e detectou atividade potencialmente mal-intencionada por um usuário confiável/interno, por exemplo, teste de segurança. |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
valores de alertDetermination
| Member | Descrição |
|---|---|
| desconhecido | Nenhum valor de determinação foi definido ainda. |
| Apt | Um verdadeiro alerta positivo que detectou uma ameaça persistente avançada. |
| malware | Um verdadeiro alerta positivo que detectou software mal-intencionado. |
| securityPersonnel | Um verdadeiro alerta positivo que detectou atividade suspeita válida que alguém da equipe de segurança do cliente realizou. |
| securityTesting | O alerta detectou uma atividade suspeita válida que foi executada como parte de um teste de segurança conhecido. |
| unwantedSoftware | O alerta detectou software indesejado. |
| multiStagedAttack | Um verdadeiro alerta positivo que detectou vários estágios de ataque em cadeia de morte. |
| compromisedAccount | Um verdadeiro alerta positivo que detectou que as credenciais do usuário pretendido foram comprometidas ou roubadas. |
| phishing | Um verdadeiro alerta positivo que detectou um email de phishing. |
| maliciousUserActivity | Um verdadeiro alerta positivo que detectou que o usuário conectado executa atividades mal-intencionadas. |
| notMalicious | Um alerta falso, nenhuma atividade suspeita. |
| notEnoughDataToValidate | Um alerta falso, sem informações suficientes para provar o contrário. |
| confirmActivity | O alerta pegou uma verdadeira atividade suspeita que é considerada OK porque é uma atividade conhecida do usuário. |
| lineOfBusinessApplication | O alerta pegou uma verdadeira atividade suspeita que é considerada OK porque é um aplicativo interno conhecido e confirmado. |
| Outros | Outra determinação. |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
valores alertSeverity
| Member | Descrição |
|---|---|
| desconhecido | Gravidade desconhecida. |
| Informativo | Alertas que podem não ser acionáveis ou considerados prejudiciais à rede, mas podem gerar conscientização sobre segurança organizacional sobre possíveis problemas de segurança. |
| low | Alertas sobre ameaças associadas ao malware predominante. Por exemplo, ferramentas de hack, ferramentas de hack nãomalware, como executar comandos de exploração e limpar logs, que muitas vezes não indicam uma ameaça avançada que visa a organização. Ele também pode vir de uma ferramenta de segurança isolada que um usuário em sua organização está testando. |
| medium | Alertas gerados a partir de detecções e comportamentos pós-violação de resposta que podem fazer parte de uma APT (ameaça persistente avançada). Esse nível de gravidade inclui comportamentos observados típicos de estágios de ataque, alteração de registro anômalo, execução de arquivos suspeitos e assim por diante. Embora alguns possam ser devido a testes de segurança interna, eles são detecções válidas e exigem investigação, pois podem fazer parte de um ataque avançado. |
| high | Alertas comumente vistos associados a ameaças persistentes avançadas (APT). Esses alertas indicam um alto risco devido à gravidade dos danos que podem causar aos ativos. Alguns exemplos são: atividades de ferramentas de roubo de credencial, atividades de ransomware não associadas a nenhum grupo, adulteração de sensores de segurança ou qualquer atividade mal-intencionada indicativa de um adversário humano. |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
valores alertStatus
| Member | Descrição |
|---|---|
| desconhecido | status desconhecido. |
| Novo | Novo alerta. |
| Inprogress | O alerta está em andamento de mitigação. |
| resolvido | O alerta está em estado resolvido. |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
valores serviceSource
| Valor | Descrição |
|---|---|
| desconhecido | Fonte de serviço desconhecida. |
| microsoftDefenderForEndpoint | Microsoft Defender para Ponto de Extremidade. |
| microsoftDefenderForIdentity | Microsoft Defender para Identidade. |
| microsoftDefenderForCloudApps | Microsoft Cloud App Security. |
| microsoftDefenderForOffice365 | Microsoft Defender para Office365. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Microsoft Entra ID Protection. |
| microsoftAppGovernance | Governança de aplicativo da Microsoft. |
| dataLossPrevention | Prevenção Contra Perda de Dados do Microsoft Purview. |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
| microsoftDefenderForCloud | Microsoft Defender for Cloud. |
| microsoftSentinel | Microsoft Sentinel. |
valores detectionSource
| Valor | Descrição |
|---|---|
| desconhecido | Fonte de detecção desconhecida. |
| microsoftDefenderForEndpoint | Microsoft Defender para ponto de extremidade. |
| antivírus | Software antivírus. |
| Smartscreen | Microsoft Defender SmartScreen. |
| customTi | Inteligência contra ameaças personalizada. |
| microsoftDefenderForOffice365 | Microsoft Defender para Office 365. |
| automatedInvestigation | Investigação automatizada. |
| microsoftThreatExperts | Especialistas em Ameaças da Microsoft. |
| customDetection | Detecção personalizada. |
| microsoftDefenderForIdentity | Microsoft Defender para Identidade. |
| cloudAppSecurity | Segurança do aplicativo na nuvem. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Microsoft Entra ID Protection. |
| Manual | Detecção manual. |
| microsoftDataLossPrevention | Prevenção Contra Perda de Dados do Microsoft Purview. |
| appGovernancePolicy | Política de governança de aplicativo. |
| appGovernanceDetection | Detecção de governança de aplicativo. |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
| microsoftDefenderForCloud | Microsoft Defender for Cloud. |
| microsoftDefenderForIoT | Microsoft Defender para IoT. |
| microsoftDefenderForServers | Microsoft Defender para servidores. |
| microsoftDefenderForStorage | Microsoft Defender para Armazenamento. |
| microsoftDefenderForDNS | Microsoft Defender para DNS. |
| microsoftDefenderForDatabases | Microsoft Defender para Bancos de Dados. |
| microsoftDefenderForContainers | Microsoft Defender para contêineres. |
| microsoftDefenderForNetwork | Microsoft Defender para Rede. |
| microsoftDefenderForAppService | Microsoft Defender para Serviço de Aplicativo. |
| microsoftDefenderForKeyVault | Microsoft Defender para Key Vault. |
| microsoftDefenderForResourceManager | Microsoft Defender para Resource Manager. |
| microsoftDefenderForApiManagement | Microsoft Defender para Gerenciamento de API. |
| microsoftSentinel | Microsoft Sentinel. |
| nrtAlerts | Alertas NRT do Sentinel. |
| scheduledAlerts | Alertas agendados do Sentinel. |
| microsoftDefenderThreatIntelligenceAnalytics | Alertas de Inteligência contra Ameaças do Sentinel. |
| builtInMl | ML interno do Sentinel. |
Relações
Nenhum
Representação JSON
A representação JSON a seguir mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de