Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пространство имен: microsoft.graph.security
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Представляет доказательства, связанные с оповещением.
Базовый тип alertEvidence и его производные типы доказательств позволяют упорядочивать и отслеживать обширные данные о каждом артефакте, связанном с оповещением. Например, оповещение об IP-адресе злоумышленника, который входит в облачную службу с помощью скомпрометированной учетной записи пользователя, может отслеживать следующие доказательства:
-
Свидетельство IP-адреса с ролями
attackerиsource, состояниемrunningисправления и вердиктомmalicious. -
Свидетельство облачного приложения с ролью
contextual. -
Подтверждение почтового ящика для взлома учетной записи пользователя с ролью
compromised.
Этот ресурс является базовым типом для следующих типов доказательств:
- activeDirectoryDomainEvidence
- aiAgentEvidence
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- dnsEvidence
- fileEvidence
- fileHashEvidence
- gitHubOrganizationEvidence
- gitHubRepoEvidence
- gitHubUserEvidence
- googleCloudResourceEvidence
- hostLogonSessionEvidence
- ioTDeviceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceAccountEvidence
- kubernetesServiceEvidence
- mailboxConfigurationEvidence
- mailboxEvidence
- mailClusterEvidence
- malwareEvidence
- networkConnectionEvidence
- nicEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- sasTokenEvidence
- securityGroupEvidence
- servicePrincipalEvidence
- submissionMailEvidence
- teamsMessageEvidence
- urlEvidence
- userEvidence
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| createdDateTime | DateTimeOffset | Дата и время создания свидетельства и добавления в оповещение. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. |
| detailedRoles | Коллекция строк | Подробное описание роли сущности в оповещении. Значения имеют свободную форму. |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | Состояние предпринятого действия по исправлению. Возможные значения: none, , remediated, preventedblocked, notFound, , unknownFutureValue, active, pendingApproval, declined, unremediated, running, , . partiallyRemediated
Prefer: include-unknown-enum-members Используйте заголовок запроса, чтобы получить следующие значения из этого развиваемого перечисления: active, pendingApproval, , declinedunremediated, running, . partiallyRemediated |
| remediationStatusDetails | String | Сведения о состоянии исправления. |
| roles | Коллекция microsoft.graph.security.evidenceRole | Роль/с, которую сущность доказательства представляет в оповещении, например IP-адрес, связанный с злоумышленником, имеет роль доказательства Злоумышленник. |
| tags | Коллекция String | Массив настраиваемых тегов, связанных с экземпляром доказательства, например для обозначения группы устройств, высокоценных ресурсов и т. д. |
| Приговор | microsoft.graph.security.evidenceVerdict | Решение, принятое автоматизированным исследованием. Допустимые значения: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue. |
значения detectionSource
| Значение | Описание |
|---|---|
| Обнаружены | Обнаружен продукт выполняемой угрозы. |
| Заблокирован | Угроза устранена во время выполнения. |
| Предотвратить | Не удалось предотвратить возникновение угрозы (запуск, скачивание и т. д.). |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
Значения evidenceRemediationStatus
| Member | Описание |
|---|---|
| none | Угрозы не найдены. |
| исправлено | Действие по исправлению успешно завершено. |
| Предотвратить | Не удалось выполнить угрозу. |
| Заблокирован | Угроза была заблокирована во время выполнения. |
| notFound | Доказательства не найдены. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
| Активных | Исследование выполняется или ожидается, и исправление еще не завершено. |
| pendingApproval | Действие исправления ожидает утверждения. |
| Отказался | Действие по исправлению было отклонено. |
| без посредника | Исследование отменит исправление и сущность будет восстановлена. |
| Запущена | Действие исправления выполняется. |
| partiallyRemediated | Угроза была частично устранена. |
Значения evidenceRole
| Member | Описание |
|---|---|
| unknown | Роль доказательства неизвестна. |
| Контекстной | Сущность, которая возникла, вероятно, безвредная, но была сообщена как побочный эффект действия злоумышленника, например, для запуска вредоносной службы использовался процесс services.exe. |
| Отсканированных | Сущность, определяемая как целевой объект для сканирования или рекогносцировки, например для сканирования сети использовался сканер портов. |
| source | Сущность, из которой произошло действие, например устройство, пользователь, IP-адрес и т. д. |
| Назначения | Сущность, в который было отправлено действие, например устройство, пользователь, IP-адрес и т. д. |
| создано | Сущность была создана в результате действий злоумышленника, например, была создана учетная запись пользователя. |
| Добавлено | Сущность была добавлена в результате действий злоумышленника. Например, учетная запись пользователя была добавлена в группу разрешений. |
| Скомпрометированы | Сущность была скомпрометирована и находится под контролем злоумышленника. Например, учетная запись пользователя была скомпрометирована и использована для входа в облачную службу. |
| edited | Сущность была изменена или изменена злоумышленником. Например, раздел реестра для службы был изменен так, чтобы он указывал на расположение новых вредоносных полезных данных. |
| Напали | Сущность подверглась атаке. Например, устройство было направлено на DDoS-атаку. |
| Злоумышленник | Сущность представляет злоумышленника. Например, IP-адрес злоумышленника обнаружил вход в облачную службу с помощью скомпрометированного пользователя. |
| commandAndControl | Сущность используется для управления и управления. Например, домен C2 (команд и управления), используемый вредоносными программами. |
| Загружен | Сущность была загружена процессом под контролем злоумышленника. Например, библиотека DLL была загружена в процесс, контролируемый злоумышленником. |
| Подозрительных | Сущность подозревается в злонамеренном или контролируемом злоумышленником, но не была инкриминирована. |
| policyViolator | Сущность является нарушителем определяемой клиентом политики. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
значения evidenceVerdict
| Member | Описание |
|---|---|
| unknown | Приговор по доказательствам не был определен. |
| Подозрительных | Рекомендуемые действия по исправлению в ожидании утверждения. |
| Вредоносных | Доказательства были определены как вредоносные. |
| NoThreatsFound | Угроза не обнаружена — доказательства неопасные. |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
Связи
Отсутствуют.
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}