Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Espaço de nomes: microsoft.graph.security
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Representa provas relacionadas com um alerta.
O tipo de base alertEvidence e os respetivos tipos de evidência derivados fornecem um meio para organizar e controlar dados avançados sobre cada artefacto envolvido num alerta. Por exemplo, um alerta sobre o endereço IP de um atacante que inicia sessão num serviço cloud com uma conta de utilizador comprometida pode controlar as seguintes provas:
-
Provas de IP com as funções de
attackeresource, remediação status derunninge veredicto demalicious. -
Provas de aplicações na cloud com uma função de
contextual. -
Prova de caixa de correio para a conta de utilizador pirateada com uma função de
compromised.
Este recurso é o tipo base para os seguintes tipos de provas:
- activeDirectoryDomainEvidence
- aiAgentEvidence
- amazonResourceEvidence
- analyzedMessageEvidence
- azureResourceEvidence
- blobContainerEvidence
- blobEvidence
- cloudApplicationEvidence
- cloudLogonRequestEvidence
- cloudLogonSessionEvidence
- containerEvidence
- containerImageEvidence
- containerRegistryEvidence
- deviceEvidence
- fileEvidence
- googleCloudResourceEvidence
- iotDeviceEvidence
- ipEvidence
- kubernetesClusterEvidence
- kubernetesControllerEvidence
- kubernetesNamespaceEvidence
- kubernetesPodEvidence
- kubernetesSecretEvidence
- kubernetesServiceEvidence
- kubernetesServiceAccountEvidence
- mailboxConfigurationEvidence
- mailboxEvidence
- mailClusterEvidence
- nicEvidence
- oauthApplicationEvidence
- processEvidence
- registryKeyEvidence
- registryValueEvidence
- securityGroupEvidence
- teamsMessageEvidence
- urlEvidence
- userEvidence
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| createdDateTime | DateTimeOffset | A data e hora em que as provas foram criadas e adicionadas ao alerta. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. |
| detailedRoles | String collection | Descrição detalhada da função/s da entidade num alerta. Os valores são de forma livre. |
| remediationStatus | microsoft.graph.security.evidenceRemediationStatus | Estado da ação de remediação tomada. Os valores possíveis são: none, , remediated, prevented, blockednotFound, unknownFutureValue, active, pendingApproval, declined, , unremediated, , . partiallyRemediatedrunning Utilize o cabeçalho do Prefer: include-unknown-enum-members pedido para obter os seguintes valores desta enumeração evoluível: active, pendingApproval, declined, unremediated, running, . partiallyRemediated |
| remediationStatusDetails | Cadeia de caracteres | Detalhes sobre o status de remediação. |
| funções | microsoft.graph.security.evidenceRole collection | A função/s que uma entidade de evidência representa num alerta, por exemplo, um endereço IP associado a um atacante tem a função de prova Atacante. |
| tags | String collection | Matriz de etiquetas personalizadas associadas a uma instância de provas, por exemplo, para denotar um grupo de dispositivos, ativos de alto valor, etc. |
| veredicto | microsoft.graph.security.evidenceVerdict | A decisão tomada pela investigação automatizada. Os valores possíveis são: unknown, suspicious, malicious, noThreatsFound, unknownFutureValue. |
detectionSource values (valores de detectionSource)
| Valor | Descrição |
|---|---|
| detetado | Foi detetado um produto da ameaça executada. |
| bloqueado | A ameaça foi remediada no tempo de execução. |
| impedida | A ameaça foi impedida de ocorrer (em execução, a transferir, etc.). |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
evidenceRemediationStatus values (valores evidenceRemediationStatus)
| Member | Descrição |
|---|---|
| none | A status de remediação é desconhecida. |
| remediado | A ação de remediação foi concluída com êxito. |
| impedida | A ameaça foi impedida de ser executada. |
| bloqueado | A ameaça foi bloqueada durante a execução. |
| notFound | As provas não foram encontradas. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
| ativo | A investigação está em execução/pendente e a remediação ainda não está concluída. |
| pendingApproval | A ação de remediação está pendente de aprovação. |
| recusado | A acção de remediação foi recusada. |
| não remediado | A investigação anula a remediação e a entidade é recuperada. |
| em execução | A ação de remediação está em execução. |
| parcialmente Remediado | A ameaça foi parcialmente remidiada. |
valores evidenceRole
| Member | Descrição |
|---|---|
| desconhecido | A função de prova é desconhecida. |
| contextual | Uma entidade que surgiu provavelmente benigna, mas que foi reportada como um efeito colateral da ação de um atacante, por exemplo, o processo de services.exe benigno foi utilizado para iniciar um serviço malicioso. |
| digitalizada | Uma entidade identificada como alvo de ações de análise ou reconhecimento de deteção, por exemplo, um scanner de porta foi utilizado para analisar uma rede. |
| source | A entidade da qual a atividade teve origem, por exemplo, dispositivo, utilizador, endereço IP, etc. |
| destino | A entidade para a qual a atividade foi enviada, por exemplo, dispositivo, utilizador, endereço IP, etc. |
| criadas | A entidade foi criada como resultado das ações de um atacante, por exemplo, foi criada uma conta de utilizador. |
| adicionado | A entidade foi adicionada como resultado das ações de um atacante. Por exemplo, uma conta de utilizador foi adicionada a um grupo de permissões. |
| comprometido | A entidade foi comprometida e está sob o controlo de um atacante. Por exemplo, uma conta de utilizador foi comprometida e utilizada para iniciar sessão num serviço cloud. |
| editado | A entidade foi editada ou alterada por um atacante. Por exemplo, a chave de registo de um serviço foi editada para apontar para a localização de um novo payload malicioso. |
| atacado | A entidade foi atacada. Por exemplo, um dispositivo foi visado num ataque DDoS. |
| atacante | A entidade representa o atacante. Por exemplo, o endereço IP do atacante observou o início de sessão num serviço cloud com uma conta de utilizador comprometida. |
| commandAndControl | A entidade está a ser utilizada para comando e controlo. Por exemplo, um domínio C2 (comando e controlo) utilizado por software maligno. |
| carregado | A entidade foi carregada por um processo sob o controlo de um atacante. Por exemplo, um Dll foi carregado para um processo controlado por atacantes. |
| suspeito | A entidade é suspeita de ser maliciosa ou controlada por um atacante, mas não foi incriminada. |
| policyViolator | A entidade é um violador de uma política definida pelo cliente. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
valores evidenceVerdict
| Member | Descrição |
|---|---|
| desconhecido | Nenhum veredicto foi determinado para as provas. |
| suspeito | Ações de remediação recomendadas a aguardar aprovação. |
| malicioso | As provas foram determinadas como maliciosas. |
| noThreatsFound | Nenhuma ameaça foi detectada- as provas são benignas. |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
Relações
Nenhum
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.alertEvidence",
"createdDateTime": "String (timestamp)",
"verdict": "String",
"remediationStatus": "String",
"remediationStatusDetails": "String",
"roles": [
"String"
],
"detailedRoles": [
"String"
],
"tags": [
"String"
]
}