tipo de recurso de incidente
Namespace: microsoft.graph.security
Importante
As APIs na versão /beta
no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Um incidente no Microsoft 365 Defender é uma coleção de instâncias de alerta correlacionadas e metadados associados que refletem a história de um ataque em um locatário.
Os serviços e aplicativos do Microsoft 365 criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem dicas valiosas sobre um ataque concluído ou contínuo. No entanto, os ataques geralmente empregam várias técnicas contra diferentes tipos de entidades, como dispositivos, usuários e caixas de correio. O resultado são vários alertas para várias entidades em seu locatário. Como reunir os alertas individuais para obter informações sobre um ataque pode ser desafiador e demorado, Microsoft 365 Defender agrega automaticamente os alertas e suas informações associadas a um incidente.
Métodos
Método | Tipo de retorno | Descrição |
---|---|---|
Listar incidentes | coleção microsoft.graph.security.incident | Obtenha uma lista de objetos de incidente que o Microsoft 365 Defender criou para rastrear ataques em uma organização. |
Obter incidente | microsoft.graph.security.incident | Leia as propriedades e as relações de um objeto incidente . |
Atualizar incidente | microsoft.graph.security.incident | Atualize as propriedades de um objeto incidente . |
Criar comentário para incidente | alertComment | Crie um comentário para um incidente existente com base na propriedade de ID de incidente especificada. |
Propriedades
Propriedade | Tipo | Descrição |
---|---|---|
id | Cadeia de caracteres | Identificador exclusivo para representar o incidente. |
displayName | Cadeia de caracteres | O nome do incidente. |
assignedTo | Cadeia de caracteres | Proprietário do incidente ou nulo se nenhum proprietário for atribuído. Texto editável gratuito. |
classificação | microsoft.graph.security.alertClassification | A especificação do incidente. Os valores possíveis são: unknown , falsePositive , truePositive , informationalExpectedActivity , unknownFutureValue . |
comentários | coleção microsoft.graph.security.alertComment | Matriz de comentários criados pela equipe de Operações de Segurança (SecOps) quando o incidente é gerenciado. |
createdDateTime | DateTimeOffset | Hora em que o incidente foi criado pela primeira vez. |
description | Cadeia de caracteres | Descrição do incidente. |
Determinação | microsoft.graph.security.alertDeterminação | Especifica a determinação do incidente. Os valores possíveis são: unknown , apt , malware , securityPersonnel , securityTesting , unwantedSoftware , other , multiStagedAttack , compromisedUser , phishing , maliciousUserActivity , clean , insufficientData , confirmedUserActivity , lineOfBusinessApplication , unknownFutureValue . |
tenantId | String | O Microsoft Entra locatário no qual o alerta foi criado. |
incidentWebUrl | Cadeia de caracteres | A URL da página de incidentes no portal do Microsoft 365 Defender. |
lastModifiedBy | Cadeia de caracteres | A identidade que modificou o incidente pela última vez. |
lastUpdateDateTime | DateTimeOffset | Hora em que o incidente foi atualizado pela última vez. |
redirectIncidentId | Cadeia de caracteres | Somente preenchido no caso de um incidente ser agrupado com outro incidente, como parte da lógica que processa incidentes. Nesse caso, a propriedade status é redirected . |
severity | alertSeverity | Indica o possível impacto sobre os ativos. Quanto maior a gravidade, maior o impacto. Normalmente, itens de maior gravidade exigem a atenção mais imediata. Os possíveis valores são: unknown , informational , low , medium , high , unknownFutureValue . |
status | microsoft.graph.security.incidentStatus | O status do incidente. Os valores possíveis são: active , , resolved , inProgress redirected , , unknownFutureValue e awaitingAction . |
customTags | String collection | A coleção de marcas personalizadas associadas a um incidente. |
systemTags | Coleção String | A coleção de marcas do sistema associadas ao incidente. |
description | Cadeia de caracteres | Uma cadeia de caracteres de texto rica que descreve o incidente |
recommendedActions | Cadeia de caracteres | Uma cadeia de caracteres de texto avançada que representa as ações que são recompactadas a serem executadas para resolve o incidente |
recommendedHuntingQueries | Coleção(microsoft.graph.security.recommendedHuntingQuery) | Lista de consultas de Linguagem de Consulta Kusto de caça (KQL) relacionadas ao incidente |
resolvendoComment | Cadeia de caracteres | Entrada do usuário que explica a resolução do incidente e a escolha da classificação. Essa propriedade contém texto editável gratuito. |
valores incidentStatus
A tabela a seguir lista os membros de uma enumeração evolução. Você deve usar o cabeçalho de Prefer: include-unknown-enum-members
solicitação para obter os seguintes valores neste enumerável em evolução: awaitingAction
.
Member | Descrição |
---|---|
Ativo | O incidente está em estado ativo. |
resolvido | O incidente está em estado resolvido. |
Inprogress | O incidente está em andamento de mitigação. |
Redirecionado | O incidente foi mesclado com outro incidente. A ID do incidente de destino é exibida na propriedade redirectIncidentId . |
unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
awaitingAction | Esse incidente requer ações de Especialistas do Defender aguardando sua ação. Somente especialistas do Microsoft 365 Defender podem definir esse status. |
Relações
Relação | Tipo | Descrição |
---|---|---|
alertas | coleção microsoft.graph.security.alert | A lista de alertas relacionados. Suporta o $expand . |
Representação JSON
A representação JSON a seguir mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.incident",
"id": "String (identifier)",
"incidentWebUrl": "String",
"tenantId": "String",
"redirectIncidentId": "String",
"displayName": "String",
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"assignedTo": "String",
"classification": "String",
"determination": "String",
"status": "String",
"severity": "String",
"customTags": [
"String"
],
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"systemTags" : [
"String"
],
"description" : "String",
"recommendedActions" : "String",
"recommendedHuntingQueries" : [
{
"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"
}
],
"lastModifiedBy": "String"
}
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de