tipo de recurso alertEvidence
Namespace: microsoft.graph.security
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Representa evidências relacionadas a um alerta.
O tipo de base alertEvidence e seus tipos de evidência derivados fornecem um meio de organizar e rastrear dados avançados sobre cada artefato envolvido em um alerta. Por exemplo, um alerta sobre o endereço IP de um invasor entrando em um serviço de nuvem usando uma conta de usuário comprometida pode rastrear as seguintes evidências:
- Evidência IP com as funções de
attackeresource, correção status derunning, e veredicto demalicious. - Evidência de aplicativo de nuvem com uma função de
contextual. - Evidência de caixa de correio para a conta de usuário hackeada com uma função de
compromised.
Esse recurso é o tipo base para os seguintes tipos de evidência:
- amazonResourceEvidence
- analyzeMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailClusterEvidence
- caixa de correioEvidência
- oauthApplicationEvidence
- processEvidence
- RegistryKeyEvidence
- RegistryValueEvidence
- securityGroupEvidence
- urlEvidence
- userEvidence
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| createdDateTime | DateTimeOffset | A data e a hora em que a evidência foi criada e adicionada ao alerta. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. |
| detailedRoles | String collection | Descrição detalhada da função/s da entidade em um alerta. Os valores são de forma livre. |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | Status da ação de correção tomada. Os valores possíveis são: none, remediated, prevented, blocked, notFound, unknownFutureValue. |
| remediationStatusDetails | Cadeia de caracteres | Detalhes sobre o status de correção. |
| funções | coleção microsoft.graph.security.evidenceRole | A função/s que uma entidade de evidência representa em um alerta, por exemplo, um endereço IP associado a um invasor tem a função de evidência Invasor. |
| tags | String collection | Matriz de marcas personalizadas associadas a uma instância de evidência, por exemplo, para denotar um grupo de dispositivos, ativos de alto valor etc. |
| Veredicto | microsoft.graph.security.evidenceVerdict | A decisão tomada pela investigação automatizada. Os valores possíveis são: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue. |
valores detectionSource
| Valor | Descrição |
|---|---|
| Detectado | Um produto da ameaça executada foi detectado. |
| Bloqueado | A ameaça foi corrigida em tempo de execução. |
| Impedido | A ameaça foi impedida de ocorrer (execução, download e assim por diante.). |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
valores evidenceRemediationStatus
| Member | Descrição |
|---|---|
| none | Nenhuma ameaça foi encontrada. |
| correção | A ação de correção foi concluída com êxito. |
| Impedido | A ameaça foi impedida de ser executada. |
| Bloqueado | A ameaça foi bloqueada durante a execução. |
| Notfound | A evidência não foi encontrada. |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
valores evidenceRole
| Member | Descrição |
|---|---|
| desconhecido | A função de evidência é desconhecida. |
| Contextual | Uma entidade que surgiu provavelmente benigna, mas foi relatada como um efeito colateral da ação de um invasor, por exemplo, o processo benigno services.exe foi usado para iniciar um serviço mal-intencionado. |
| Digitalizados | Uma entidade identificada como um alvo de ações de verificação ou reconhecimento de descoberta, por exemplo, um scanner de porta foi usado para verificar uma rede. |
| source | A entidade da qual a atividade se originou, por exemplo, dispositivo, usuário, endereço IP etc. |
| Destino | A entidade para a qual a atividade foi enviada, por exemplo, dispositivo, usuário, endereço IP etc. |
| criadas | A entidade foi criada como resultado das ações de um invasor, por exemplo, uma conta de usuário foi criada. |
| adicionado | A entidade foi adicionada como resultado das ações de um invasor, por exemplo, uma conta de usuário foi adicionada a um grupo de permissões. |
| Comprometida | A entidade foi comprometida e está sob o controle de um invasor, por exemplo, uma conta de usuário foi comprometida e usada para fazer logon em um serviço de nuvem. |
| editado | A entidade foi editada ou alterada por um invasor, por exemplo, a chave do registro de um serviço foi editada para apontar para o local de uma nova carga mal-intencionada. |
| Atacado | A entidade foi atacada, por exemplo, um dispositivo foi alvo de um ataque DDoS. |
| Atacante | A entidade representa o invasor, por exemplo, o endereço IP do invasor observado fazendo logon em um serviço de nuvem usando uma conta de usuário comprometida. |
| commandAndControl | A entidade está sendo usada para comando e controle, por exemplo, um domínio C2 (comando e controle) usado por malware. |
| Carregado | A entidade foi carregada por um processo sob o controle de um invasor, por exemplo, um Dll foi carregado em um processo controlado pelo invasor. |
| Suspeito | A entidade é suspeita de ser mal-intencionada ou controlada por um invasor, mas não foi incriminada. |
| policyViolator | A entidade é um violador de uma política definida pelo cliente. |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
valores evidenceRemediationStatus
| Member | Descrição |
|---|---|
| desconhecido | Nenhum veredicto foi determinado para a evidência. |
| Suspeito | Ações de correção recomendadas aguardando aprovação. |
| Malicioso | A evidência foi determinada como mal-intencionada. |
| limpo | Nenhuma ameaça foi detectada- a evidência é benigna. |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
valores evidenceVerdict
| Member | Descrição |
|---|---|
| desconhecido | Nenhum veredicto foi determinado para a evidência. |
| Suspeito | Ações de correção recomendadas aguardando aprovação. |
| Malicioso | A evidência foi determinada como mal-intencionada. |
| noThreatsFound | Nenhuma ameaça foi detectada- a evidência é benigna. |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
Relações
Nenhum
Representação JSON
A representação JSON a seguir mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de