Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пространство имен: microsoft.graph.security
Представляет доказательства, связанные с оповещением.
Базовый тип alertEvidence и производные типы доказательств предоставляют средства для организации и отслеживания расширенных данных о каждом артефакте, связанном с оповещением. Например, оповещение о входе IP-адреса злоумышленника в облачную службу с помощью скомпрометированного пользователя может отслеживать следующие доказательства:
-
Свидетельство IP-адреса с ролями
attackerиsource, состояниемrunningисправления и вердиктомmalicious. -
Свидетельство облачного приложения с ролью
contextual. -
Подтверждение почтового ящика для взлома учетной записи пользователя с ролью
compromised.
Этот ресурс является базовым типом для следующих типов доказательств:
- activeDirectoryDomainEvidence
- aiAgentEvidence
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- iotDeviceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailboxConfigurationEvidence
- mailboxEvidence
- mailClusterEvidence
- nicEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- teamsMessageEvidence
- urlEvidence
- userEvidence
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| createdDateTime | DateTimeOffset | Дата и время создания свидетельства и добавления в оповещение. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. |
| detailedRoles | Коллекция строк | Подробное описание роли сущности в оповещении. Значения имеют свободную форму. |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | Состояние предпринятого действия по исправлению. Возможные значения: none, , remediated, preventedblocked, notFound, , unknownFutureValue, active, pendingApproval, declined, unremediated, running, , . partiallyRemediated
Prefer: include-unknown-enum-members Используйте заголовок запроса, чтобы получить следующие значения из этого развиваемого перечисления: active, pendingApproval, , declinedunremediated, running, . partiallyRemediated |
| remediationStatusDetails | String | Сведения о состоянии исправления. |
| roles | Коллекция microsoft.graph.security.evidenceRole | Роль/с, которую сущность доказательства представляет в оповещении, например IP-адрес, связанный с злоумышленником, имеет роль доказательства Злоумышленник. |
| tags | Коллекция String | Массив настраиваемых тегов, связанных с экземпляром доказательства, например для обозначения группы устройств, высокоценных ресурсов и т. д. |
| Приговор | microsoft.graph.security.evidenceVerdict | Решение, принятое автоматизированным исследованием. Допустимые значения: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue. |
значения detectionSource
| Значение | Описание |
|---|---|
| Обнаружены | Обнаружен продукт выполняемой угрозы. |
| Заблокирован | Угроза устранена во время выполнения. |
| Предотвратить | Не удалось предотвратить возникновение угрозы (запуск, скачивание и т. д.). |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
Значения evidenceRemediationStatus
| Member | Описание |
|---|---|
| none | Состояние исправления неизвестно. |
| исправлено | Действие по исправлению успешно завершено. |
| Предотвратить | Не удалось выполнить угрозу. |
| Заблокирован | Угроза была заблокирована во время выполнения. |
| notFound | Доказательства не найдены. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
| Активных | Исследование выполняется или ожидается, и исправление еще не завершено. |
| pendingApproval | Действие исправления ожидает утверждения. |
| Отказался | Действие по исправлению было отклонено. |
| без посредника | Исследование отмените исправление, и сущность будет восстановлена. |
| Запущена | Действие исправления выполняется. |
| partiallyRemediated | Угроза была частично переохлащена. |
Значения evidenceRole
| Member | Описание |
|---|---|
| unknown | Роль доказательства неизвестна. |
| Контекстной | Сущность, которая возникла, вероятно, доброкачественная, но была сообщена как побочный эффект действия злоумышленника. Например, для запуска вредоносной службы использовался процесс безвредного services.exe. |
| Отсканированных | Сущность, определяемая как целевой объект для операций сканирования обнаружения или рекогносцировки. Например, сканер портов использовался для сканирования сети. |
| source | Сущность, из которой возникло действие. Например, устройство, пользователь, IP-адрес или т. д. |
| Назначения | Сущность, в который было отправлено действие. Например, устройство, пользователь, IP-адрес или т. д. |
| создано | Сущность была создана в результате действий злоумышленника. Например, была создана учетная запись пользователя. |
| Добавлено | Сущность была добавлена в результате действий злоумышленника. Например, учетная запись пользователя была добавлена в группу разрешений. |
| Скомпрометированы | Сущность была скомпрометирована и находится под контролем злоумышленника. Например, учетная запись пользователя была скомпрометирована и использована для входа в облачную службу. |
| edited | Сущность была изменена или изменена злоумышленником. Например, раздел реестра для службы был изменен так, чтобы он указывал на расположение новых вредоносных полезных данных. |
| Напали | Сущность подверглась атаке. Например, устройство было направлено на DDoS-атаку. |
| Злоумышленник | Сущность представляет злоумышленника. Например, IP-адрес злоумышленника обнаружил вход в облачную службу с помощью скомпрометированного пользователя. |
| commandAndControl | Сущность используется для управления и управления. Например, домен C2 (команд и управления), используемый вредоносными программами. |
| Загружен | Сущность была загружена процессом под контролем злоумышленника. Например, библиотека DLL была загружена в процесс, контролируемый злоумышленником. |
| Подозрительных | Сущность подозревается в злонамеренном или контролируемом злоумышленником, но не была инкриминирована. |
| policyViolator | Сущность является нарушителем определяемой клиентом политики. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
значения evidenceVerdict
| Member | Описание |
|---|---|
| unknown | Приговор по доказательствам не был определен. |
| Подозрительных | Рекомендуемые действия по исправлению в ожидании утверждения. |
| Вредоносных | Доказательства были определены как вредоносные. |
| NoThreatsFound | Угроза не обнаружена — доказательства неопасные. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
Связи
Отсутствуют.
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}