tipo de recurso de incidente
Namespace: microsoft.graph.security
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Um incidente no Microsoft 365 Defender é uma coleção de instâncias de alerta correlacionadas e metadados associados que refletem a história de um ataque em um locatário.
Os serviços e aplicativos do Microsoft 365 criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem dicas valiosas sobre um ataque concluído ou contínuo. No entanto, os ataques geralmente empregam várias técnicas contra diferentes tipos de entidades, como dispositivos, usuários e caixas de correio. O resultado são vários alertas para várias entidades em seu locatário. Como reunir os alertas individuais para obter informações sobre um ataque pode ser desafiador e demorado, Microsoft 365 Defender agrega automaticamente os alertas e suas informações associadas a um incidente.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| Listar incidentes | coleção microsoft.graph.security.incident | Obtenha uma lista de objetos de incidente que o Microsoft 365 Defender criou para rastrear ataques em uma organização. |
| Obter incidente | microsoft.graph.security.incident | Leia as propriedades e as relações de um objeto incidente . |
| Atualizar incidente | microsoft.graph.security.incident | Atualize as propriedades de um objeto incidente . |
| Criar comentário para incidente | alertComment | Crie um comentário para um incidente existente com base na propriedade de ID de incidente especificada. |
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| id | Cadeia de caracteres | Identificador exclusivo para representar o incidente. |
| displayName | Cadeia de caracteres | O nome do incidente. |
| assignedTo | Cadeia de caracteres | Proprietário do incidente ou nulo se nenhum proprietário for atribuído. Texto editável gratuito. |
| classificação | microsoft.graph.security.alertClassification | A especificação do incidente. Os valores possíveis são: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| comentários | coleção microsoft.graph.security.alertComment | Matriz de comentários criados pela equipe de Operações de Segurança (SecOps) quando o incidente é gerenciado. |
| createdDateTime | DateTimeOffset | Hora em que o incidente foi criado pela primeira vez. |
| description | Cadeia de caracteres | Descrição do incidente. |
| Determinação | microsoft.graph.security.alertDeterminação | Especifica a determinação do incidente. Os valores possíveis são: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue. |
| tenantId | String | O Microsoft Entra locatário no qual o alerta foi criado. |
| incidentWebUrl | Cadeia de caracteres | A URL da página de incidentes no portal do Microsoft 365 Defender. |
| lastModifiedBy | Cadeia de caracteres | A identidade que modificou o incidente pela última vez. |
| lastUpdateDateTime | DateTimeOffset | Hora em que o incidente foi atualizado pela última vez. |
| redirectIncidentId | Cadeia de caracteres | Somente preenchido no caso de um incidente ser agrupado com outro incidente, como parte da lógica que processa incidentes. Nesse caso, a propriedade status é redirected. |
| severity | alertSeverity | Indica o possível impacto sobre os ativos. Quanto maior a gravidade, maior o impacto. Normalmente, itens de maior gravidade exigem a atenção mais imediata. Os possíveis valores são: unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.incidentStatus | O status do incidente. Os valores possíveis são: active, , resolved, inProgressredirected, , unknownFutureValuee awaitingAction. |
| customTags | String collection | A coleção de marcas personalizadas associadas a um incidente. |
| systemTags | Coleção String | A coleção de marcas do sistema associadas ao incidente. |
| description | Cadeia de caracteres | Uma cadeia de caracteres de texto rica que descreve o incidente |
| recommendedActions | Cadeia de caracteres | Uma cadeia de caracteres de texto avançada que representa as ações que são recompactadas a serem executadas para resolve o incidente |
| recommendedHuntingQueries | Coleção(microsoft.graph.security.recommendedHuntingQuery) | Lista de consultas de Linguagem de Consulta Kusto de caça (KQL) relacionadas ao incidente |
| resolvendoComment | Cadeia de caracteres | Entrada do usuário que explica a resolução do incidente e a escolha da classificação. Essa propriedade contém texto editável gratuito. |
valores incidentStatus
A tabela a seguir lista os membros de uma enumeração evolução. Você deve usar o cabeçalho de Prefer: include-unknown-enum-members solicitação para obter os seguintes valores neste enumerável em evolução: awaitingAction.
| Member | Descrição |
|---|---|
| Ativo | O incidente está em estado ativo. |
| resolvido | O incidente está em estado resolvido. |
| Inprogress | O incidente está em andamento de mitigação. |
| Redirecionado | O incidente foi mesclado com outro incidente. A ID do incidente de destino é exibida na propriedade redirectIncidentId . |
| unknownFutureValue | Valor sentinela de enumeração evoluível. Não usar. |
| awaitingAction | Esse incidente requer ações de Especialistas do Defender aguardando sua ação. Somente especialistas do Microsoft 365 Defender podem definir esse status. |
Relações
| Relação | Tipo | Descrição |
|---|---|---|
| alertas | coleção microsoft.graph.security.alert | A lista de alertas relacionados. Suporta o $expand. |
Representação JSON
A representação JSON a seguir mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.incident",
"id": "String (identifier)",
"incidentWebUrl": "String",
"tenantId": "String",
"redirectIncidentId": "String",
"displayName": "String",
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"assignedTo": "String",
"classification": "String",
"determination": "String",
"status": "String",
"severity": "String",
"customTags": [
"String"
],
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"systemTags" : [
"String"
],
"description" : "String",
"recommendedActions" : "String",
"recommendedHuntingQueries" : [
{
"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"
}
],
"lastModifiedBy": "String"
}
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de