名前空間: microsoft.graph.security
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
アラートに関連する証拠を表 します。
alertEvidence 基本型とその派生証拠の種類は、アラートに関連する各成果物に関する豊富なデータを整理および追跡するための手段を提供します。 たとえば、侵害されたユーザー アカウントを使用してクラウド サービスにサインインする攻撃者の IP アドレスに関する アラート は、次の証拠を追跡できます。
-
ip evidence with the roles of
attackerandsource, remediation status ofrunning, and verdict ofmalicious. -
contextualの役割を持つクラウド アプリケーションの証拠。 -
compromisedの役割を持つハッキングされたユーザー アカウントのメールボックス証拠。
このリソースは、次の証拠の種類の基本型です。
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- iotDeviceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailClusterEvidence
- mailboxEvidence
- nicEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- teamsMessageEvidence
- urlEvidence
- userEvidence
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| createdDateTime | DateTimeOffset | 証拠が作成され、アラートに追加された日時。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| detailedRoles | String collection | アラート内のエンティティ ロールの詳細な説明。 値は自由形式です。 |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | 実行された修復アクションの状態。 使用できる値は、 none、 remediated、 prevented、 blocked、 notFound、 unknownFutureValue、 active、 pendingApproval、 declined、 unremediated、 running、 partiallyRemediatedです。
Prefer: include-unknown-enum-members要求ヘッダーを使用して、この進化可能な列挙型から次の値を取得します。active、pendingApproval、declined、unremediated、running、partiallyRemediated。 |
| remediationStatusDetails | String | 修復の状態の詳細。 |
| roles | microsoft.graph.security.evidenceRole コレクション | 証拠エンティティがアラートで表すロール (たとえば、攻撃者に関連付けられている IP アドレスには、攻撃者の証拠ロール があります)。 |
| tags | String collection | たとえば、デバイスのグループ、価値の高い資産などを示すために、証拠インスタンスに関連付けられたカスタム タグの配列。 |
| 評決 | microsoft.graph.security.evidenceVerdict | 自動化された調査によって実現された決定。 使用可能な値: unknown、suspicious、malicious、noThreatsFound、unknownFutureValue。 |
detectionSource 値
| 値 | 説明 |
|---|---|
| 検出 | 実行された脅威の製品が検出されました。 |
| ブロック | 脅威は実行時に修復されました。 |
| 防止 | 脅威が発生するのを防いだ (実行、ダウンロードなど)。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
evidenceRemediationStatus 値
| メンバー | 説明 |
|---|---|
| none | 修復の状態が不明です。 |
| 修復 | 修復アクションが正常に完了しました。 |
| 防止 | 脅威の実行が禁止されました。 |
| ブロック | 実行中に脅威がブロックされました。 |
| notFound | 証拠が見つかりませんでした。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
| アクティブ | 調査が実行中/保留中であり、修復はまだ完了していません。 |
| pendingApproval | 修復アクションは承認待ちです。 |
| 減少 | 修復アクションが拒否されました。 |
| 修復されない | 調査によって修復が元に戻され、エンティティが復旧されます。 |
| ランニング | 修復アクションが実行されています。 |
| partiallyRemediated | 脅威は部分的に再現されました。 |
evidenceRole 値
| メンバー | 説明 |
|---|---|
| 不明 | 証拠ロールは不明です。 |
| コンテキスト | 発生した可能性は高いが、攻撃者のアクションの副作用として報告されたエンティティ (たとえば、悪意のあるサービスを開始するために無害な services.exe プロセスが使用されました)。 |
| スキャン | 検出スキャンまたは偵察アクションのターゲットとして識別されるエンティティ 。たとえば、ポート スキャナーを使用してネットワークをスキャンしました。 |
| source | アクティビティの送信元のエンティティ (デバイス、ユーザー、IP アドレスなど)。 |
| 行き先 | アクティビティが送信されたエンティティ (デバイス、ユーザー、IP アドレスなど)。 |
| 作成済み | エンティティは、ユーザー アカウントが作成されたなど、攻撃者の操作の結果として作成されました。 |
| 追加済み | 攻撃者の操作の結果、エンティティが追加されました。 たとえば、ユーザー アカウントがアクセス許可グループに追加されました。 |
| 侵害 | エンティティが侵害され、攻撃者の管理下にあります。 たとえば、ユーザー アカウントが侵害され、クラウド サービスにログインするために使用されました。 |
| 編集済み | エンティティが攻撃者によって編集または変更されました。 たとえば、サービスのレジストリ キーは、新しい悪意のあるペイロードの場所を指すよう編集されました。 |
| 攻撃 | エンティティが攻撃されました。 たとえば、デバイスは DDoS 攻撃の対象でした。 |
| アタッカー | エンティティは攻撃者を表します。 たとえば、攻撃者の IP アドレスは、侵害されたユーザー アカウントを使用してクラウド サービスにログインしているのを観察しました。 |
| commandAndControl | エンティティは、コマンドと制御に使用されています。 たとえば、マルウェアによって使用される C2 (コマンドと制御) ドメインなどです。 |
| ロード | エンティティは、攻撃者の制御下にあるプロセスによって読み込まれました。 たとえば、Dll は攻撃者が制御するプロセスに読み込まれました。 |
| 怪しい | エンティティは悪意を持っているか、攻撃者によって制御されていると疑われますが、攻撃されていません。 |
| policyViolator | エンティティは、顧客定義ポリシーの違反者です。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
evidenceVerdict 値
| メンバー | 説明 |
|---|---|
| 不明 | 証拠に対する判決は決定されなかった。 |
| 怪しい | 承認待ちの推奨修復アクション。 |
| 腹黒い | 証拠は悪意があると判断されました。 |
| noThreatsFound | 脅威が検出されなかった - 証拠は良性です。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
リレーションシップ
なし。
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}