Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Espaço de nomes: microsoft.graph.security
Um incidente no Microsoft 365 Defender é uma coleção de instâncias de alerta correlacionadas e metadados associados que refletem a história de um ataque a um inquilino.
Os serviços e aplicativos do Microsoft 365 criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem dicas valiosas sobre um ataque concluído ou contínuo. No entanto, os ataques geralmente empregam várias técnicas contra diferentes tipos de entidades, como dispositivos, usuários e caixas de correio. O resultado são vários alertas para várias entidades em seu locatário. Como reunir os alertas individuais para obter informações sobre um ataque pode ser desafiador e demorado, Microsoft 365 Defender agrega automaticamente os alertas e suas informações associadas a um incidente.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| Listar incidentes | coleção microsoft.graph.security.incident | Obtenha uma lista de objetos de incidentes que o Microsoft 365 Defender criou para controlar ataques numa organização. |
| Obter incidente | microsoft.graph.security.incident | Leia as propriedades e relações de um objeto de incidente . |
| Atualizar incidente | microsoft.graph.security.incident | Atualize as propriedades de um objeto de incidente . |
| Criar comentário para incidente | alertComment | Crie um comentário para um incidente existente com base na propriedade ID do incidente especificada. |
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| assignedTo | Cadeia de caracteres | Proprietário do incidente ou nulo se não for atribuído nenhum proprietário. Texto editável gratuito. |
| classificação | microsoft.graph.security.alertClassification | A especificação do incidente. Os valores possíveis são: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| comentários | coleção microsoft.graph.security.alertComment | Matriz de comentários criados pela equipa de Operações de Segurança (SecOps) quando o incidente é gerido. |
| createdDateTime | DateTimeOffset | Hora em que o incidente foi criado pela primeira vez. |
| customTags | String collection | Matriz de etiquetas personalizadas associadas a um incidente. |
| description | Cadeia de caracteres | Descrição do incidente. |
| determinação | microsoft.graph.security.alertDetermination | Especifica a determinação do incidente. Os valores possíveis são: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, maliciousUserActivity, clean, insufficientData, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue. |
| displayName | Cadeia de caracteres | O nome do incidente. |
| id | Cadeia de caracteres | Identificador exclusivo para representar o incidente. |
| incidentWebUrl | Cadeia de caracteres | O URL da página do incidente no portal do Microsoft 365 Defender. |
| lastModifiedBy | Cadeia de caracteres | A identidade que modificou o incidente pela última vez. |
| lastUpdateDateTime | DateTimeOffset | Hora em que o incidente foi atualizado pela última vez. |
| redirectIncidentId | Cadeia de caracteres | Apenas preenchido no caso de um incidente ser agrupado com outro incidente, como parte da lógica que processa incidentes. Nesse caso, a propriedade status é redirected. |
| resolverComment | Cadeia de caracteres | Entrada do utilizador que explica a resolução do incidente e a opção de classificação. Esta propriedade contém texto editável gratuito. |
| severity | alertSeverity | Indica o possível impacto nos recursos. Quanto maior for a gravidade, maior será o impacto. Normalmente, os itens de gravidade mais elevados requerem a atenção mais imediata. Os possíveis valores são: unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.incidentStatus | O status do incidente. Os valores possíveis são: active, , resolvedinProgress, redirected, , unknownFutureValuee awaitingAction. |
| summary | Cadeia de caracteres | A descrição geral de um ataque. Quando aplicável, o resumo contém detalhes sobre o que ocorreu, os recursos afetados e o tipo de ataque. |
| systemTags | String collection | As etiquetas de sistema associadas ao incidente. |
| tenantId | String | O Microsoft Entra inquilino no qual o alerta foi criado. |
incidentStatus values (valores incidentStatus)
A tabela seguinte lista os membros de uma enumeração evoluível. Utilize o cabeçalho do Prefer: include-unknown-enum-members pedido para obter os seguintes valores nesta enumeração evoluível: awaitingAction.
| Member | Descrição |
|---|---|
| ativo | O incidente está no estado ativo. |
| resolvido | O incidente está no estado resolvido. |
| inProgress | O incidente está em curso de mitigação. |
| redirecionado | O incidente foi intercalado com outro incidente. O ID do incidente de destino é apresentado na propriedade redirectIncidentId . |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
| waitingAction | Este incidente requer ações de Especialistas do Defender à espera da sua ação. Apenas os especialistas do Microsoft 365 Defender podem definir este status. |
Relações
| Relação | Tipo | Descrição |
|---|---|---|
| alertas | coleção microsoft.graph.security.alert | A lista de alertas relacionados. Suporta o $expand. |
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String"
}