Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Espacio de nombres: microsoft.graph.security
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Representa una acción de corrección para un incidente. Cuando Expertos de Microsoft Defender para XDR identifica una acción necesaria, crea una tarea en la que puede revisar y actuar. Revise y tome medidas sobre estas tareas a través del portal o mediante esta API.
Hereda de microsoft.graph.entity.
Métodos
| Método | Tipo devuelto | Descripción |
|---|---|---|
| List | Colección microsoft.graph.security.incidentTask | Obtenga objetos de tarea de incidente y sus propiedades. |
| Get | microsoft.graph.security.incidentTask | Lea las propiedades y las relaciones de una tarea de incidente. |
| Actualizar | microsoft.graph.security.incidentTask | Actualice el estado de una tarea de incidente. |
| Ejecutar acción de respuesta | Ninguno | Ejecute una acción de corrección en una tarea de incidente. Limitado a los tipos de acción admitidos. |
Propiedades
| Propiedad | Tipo | Descripción |
|---|---|---|
| actionStatus | microsoft.graph.security.incidentTaskActionStatus | Estado de ejecución de la acción. Los valores posibles son: notStarted, inProgress, partiallyCompleted, completed, failed, unknownFutureValue. Para obtener más información, vea valores incidentTaskActionStatus. |
| actionType | microsoft.graph.security.incidentTaskActionType | Acción de corrección que se va a realizar. Los valores posibles son: text, isolateDevice, , stopAndQuarantineFile, collectInvestigationPackagerunAntiVirusScan, restrictAppExecution, submitIocRule, , forceUserPasswordReset, disableUser, markUserAsCompromised, requireSignIn, hardDeleteEmail, , softDeleteEmail, unIsolateDevice, unRestrictAppExecution, , enableUser. unknownFutureValue Para obtener más información, vea incidentTaskActionType values(Valores de incidentTaskActionType). |
| createdByDisplayName | Cadena | Nombre de la entidad que creó la tarea. Solo lectura. |
| createdDateTime | DateTimeOffset | Hora de creación de la tarea. Solo lectura. |
| description | Cadena | Descripción de la acción de corrección. |
| displayName | String | Título de la tarea. |
| id | Cadena | Identificador GUID único para la tarea. |
| lastModifiedByDisplayName | Cadena | Nombre de la entidad que actualizó por última vez la tarea. Solo lectura. |
| lastModifiedDateTime | DateTimeOffset | Última hora de actualización de la tarea. Solo lectura. |
| responseAction | microsoft.graph.security.incidentTaskResponseAction | La acción reponse. |
| source | microsoft.graph.security.incidentTaskSource | Origen de la tarea. Los valores posibles son: defenderExpertsGuidedResponse, defenderExpertsManagedResponse, unknownFutureValue. Para obtener más información, vea incidentTaskSource values(Valores de incidentTaskSource). |
| status | microsoft.graph.security.incidentTaskStatus | Estado actual de la tarea. Esta propiedad es la única propiedad que puede actualizar. Los valores posibles son: open, inProgress, completed, failed, notRelevant, unknownFutureValue. Para obtener más información, vea valores incidentTaskStatus. |
valores incidentTaskActionStatus
| Member | Descripción |
|---|---|
| notStarted | No se inicia la acción relacionada con la tarea de incidente. |
| inProgress | La acción relacionada con la tarea de incidente está enProgress. |
| partiallyCompleted | La acción relacionada con la tarea de incidente se completa parcialmente. |
| completado | Se completa la acción relacionada con la tarea de incidente. |
| fracasado | Error en la acción relacionada con la tarea de incidente. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
valores incidentTaskActionType
| Member | Descripción |
|---|---|
| text | La acción podría ser cualquier texto libre, por ejemplo, el SOC puede guiar al cliente para dar formato a su dispositivo. |
| isolateDevice | Usa Microsoft Defender para punto de conexión para aplicar el aislamiento de red completo, lo que impide que el dispositivo se conecte a cualquier aplicación o servicio. |
| stopAndQuarantineFile | Usa Microsoft Defender para punto de conexión para eliminar un archivo del dispositivo. |
| runAntiVirusScan | Realiza Microsoft Defender examen antivirus en el dispositivo. |
| collectInvestigationPackage | Usa Microsoft Defender para punto de conexión para recopilar registros de dispositivos y almacenarlos en un archivo ZIP. |
| restrictAppExecution | Establece restricciones en el dispositivo para permitir que solo se ejecuten los ejecutables firmados con un certificado emitido por Microsoft. |
| submitIocRule | Envíe la regla de IOC. |
| forceUserPasswordReset | Obliga al usuario a restablecer su contraseña. |
| disableUser | Impide temporalmente que un usuario inicie sesión en el entorno local. |
| markUserAsCompromised | Establece el nivel de riesgo de los usuarios en "alto" en Azure Active Directory. |
| requireSignIn | Requiere que el usuario vuelva a iniciar sesión. |
| hardDeleteEmail | Elimina el mensaje de correo electrónico. |
| softDeleteEmail | Mueve el mensaje de correo electrónico a la carpeta eliminada. |
| unIsolateDevice | Revierte la acción de respuesta isolateDevice. |
| unRestrictAppExecution | Revierte la acción de respuesta restrictAppExecution. |
| enableUser | Revierte la acción de respuesta disableUser. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
incidentTaskSource valores
| Member | Descripción |
|---|---|
| defenderExpertsGuidedResponse | La tarea de incidente Expertos de Defender está pendiente en el cliente para su ejecución. |
| defenderExpertsManagedResponse | La ejecución de la tarea de incidentes de expertos de Defender la realizan expertos de Defender. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
valores incidentTaskStatus
| Member | Descripción |
|---|---|
| abrir | La tarea de incidente se marca como abierta. |
| inProgress | La tarea de incidente se marca como en curso. |
| completado | La tarea de incidente se marca como completada. |
| fracasado | La tarea de incidente se marca como errónea. Error en la ejecución de la acción establece el estado de la tarea de incidente en error también. |
| notRelevant | La tarea de incidente se marca como no relevante. |
| unknownFutureValue | Valor de sentinel de enumeración evolvable. No usar. |
Relaciones
| Relación | Tipo | Descripción |
|---|---|---|
| incidente | microsoft.graph.security.incident | Obligatorio. Incidente que contiene esta tarea. Debe contener un identificador de incidente válido. |
Representación JSON
El siguiente JSON muestra la estructura del tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.incidentTask",
"id": "String (identifier)",
"status": "String",
"source": "String",
"displayName": "String",
"description": "String",
"createdDateTime": "String (timestamp)",
"createdByDisplayName": "String",
"lastModifiedDateTime": "String (timestamp)",
"lastModifiedByDisplayName": "String",
"actionStatus": "String",
"actionType": "String",
"incident": {
"@odata.type": "microsoft.graph.security.incident",
"id": "String"
}
}