Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пространство имен: microsoft.graph.security
Инцидент в Microsoft 365 Defender — это коллекция коррелированных экземпляров оповещений и связанных метаданных, отражающая историю атаки на клиент.
Службы и приложения Microsoft 365 создают оповещения при обнаружении подозрительного или вредоносного события или действия. Отдельные оповещения предоставляют ценные подсказки о завершенной или продолжающейся атаке. Однако в атаках обычно используются различные методы против различных типов сущностей, например устройств, пользователей и почтовых ящиков. Это приводит к созданию нескольких оповещений для нескольких сущностей в клиенте. Поскольку объединение отдельных оповещений для получения представления об атаке может быть сложной задачей и требовать много времени, Microsoft 365 Defender автоматически объединяет оповещения и связанную с ними информацию в инцидент.
Методы
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Получение списка инцидентов | Коллекция microsoft.graph.security.incident | Получите список объектов инцидентов , созданных Microsoft 365 Defender для отслеживания атак в организации. |
| Получение инцидента | microsoft.graph.security.incident | Чтение свойств и связей объекта инцидента . |
| Обновление данных об инциденте | microsoft.graph.security.incident | Обновление свойств объекта инцидента . |
| Создание комментария для инцидента | alertComment | Создайте комментарий для существующего инцидента на основе указанного свойства идентификатора инцидента. |
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| assignedTo | String | Владелец инцидента или значение NULL, если владелец не назначен. Бесплатный редактируемый текст. |
| classification | microsoft.graph.security.alertClassification | Спецификация инцидента. Допустимые значения: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| comments | Коллекция microsoft.graph.security.alertComment | Массив комментариев, созданный командой по операциям безопасности (SecOps) при управлении инцидентом. |
| createdDateTime | DateTimeOffset | Время создания инцидента. |
| customTags | Коллекция строк | Массив настраиваемых тегов, связанных с инцидентом. |
| description | String | Описание инцидента. |
| Определение | microsoft.graph.security.alertDetermination | Указывает определение инцидента. Возможные значения: unknown, , apt, malware, securityPersonnelsecurityTesting, , unwantedSoftwareother, , multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, , insufficientData, confirmedUserActivity, lineOfBusinessApplication, . unknownFutureValue |
| displayName | String | Имя инцидента. |
| id | String | Уникальный идентификатор, представляющий инцидент. |
| incidentWebUrl | String | URL-адрес страницы инцидента на портале Microsoft 365 Defender. |
| lastModifiedBy | String | Удостоверение, последнее изменившее инцидент. |
| lastUpdateDateTime | DateTimeOffset | Время последнего обновления инцидента. |
| priorityScore | Целое | Оценка приоритета для инцидента от 0 до 100, при > этом 85 является главным приоритетом, 15–85 — средним приоритетом и < 15 низким приоритетом. Эта оценка создается с помощью машинного обучения и основана на нескольких факторах, включая серьезность, влияние на нарушение работы, аналитику угроз, типы оповещений, критичность активов, аналитику угроз, редкость инцидентов и дополнительные сигналы о приоритете. Значение также может быть null , указывающее, что функция не открыта для клиента или значение оценки ожидает вычисления. |
| redirectIncidentId | String | Заполняется только в том случае, если инцидент сгруппирован с другим инцидентом в рамках логики, обрабатывающей инциденты. В этом случае свойство status имеет значение redirected. |
| resolveingComment | String | Входные данные пользователя, объясняющие разрешение инцидента и выбор классификации. Это свойство содержит свободный редактируемый текст. |
| severity | alertSeverity | Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют самого непосредственного внимания. Допустимые значения: unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.incidentStatus | Состояние инцидента. Допустимые значения: active, resolved, inProgress, redirected, unknownFutureValue и awaitingAction. |
| summary | String | Обзор атаки. Если применимо, сводка содержит сведения о том, что произошло, затронутых ресурсах и типе атаки. |
| systemTags | Коллекция строк | Системные теги, связанные с инцидентом. |
| tenantId | String | Клиент Microsoft Entra, в котором было создано оповещение. |
Значения incidentStatus
В следующей таблице перечислены члены расширяемого перечисления.
Prefer: include-unknown-enum-members Используйте заголовок запроса, чтобы получить следующие значения в этой развиваемой перечислении: awaitingAction.
| Member | Описание |
|---|---|
| Активных | Инцидент находится в активном состоянии. |
| resolved | Инцидент находится в разрешенном состоянии. |
| Inprogress | Инцидент находится в процессе устранения последствий. |
| Перенаправлены | Инцидент был объединен с другим инцидентом. Идентификатор целевого инцидента отображается в свойстве redirectIncidentId . |
| unknownFutureValue | Изменяемое значение перечисления sentinel. Не используйте. |
| awaitingAction | Этот инцидент требует действий от экспертов Defender, ожидающих ваших действий. Это состояние могут задать только эксперты Microsoft 365 Defender. |
Связи
| Связь | Тип | Описание |
|---|---|---|
| оповещения | Коллекция microsoft.graph.security.alert | Список связанных оповещений. Поддерживает $expand. |
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String",
"priorityScore": "Int"
}