Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Espaço de nomes: microsoft.graph.security
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Um incidente no Microsoft 365 Defender é uma coleção de instâncias de alerta correlacionadas e metadados associados que refletem a história de um ataque num inquilino.
Os serviços e aplicativos do Microsoft 365 criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem dicas valiosas sobre um ataque concluído ou contínuo. No entanto, os ataques geralmente empregam várias técnicas contra diferentes tipos de entidades, como dispositivos, usuários e caixas de correio. O resultado são vários alertas para várias entidades em seu locatário. Como reunir os alertas individuais para obter informações sobre um ataque pode ser desafiador e demorado, Microsoft 365 Defender agrega automaticamente os alertas e suas informações associadas a um incidente.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| Listar incidentes | coleção microsoft.graph.security.incident | Obtenha uma lista de objetos de incidentes que o Microsoft 365 Defender criou para controlar ataques numa organização. |
| Obter incidente | microsoft.graph.security.incident | Leia as propriedades e relações de um objeto de incidente . |
| Atualizar incidente | microsoft.graph.security.incident | Atualize as propriedades de um objeto de incidente . |
| Criar comentário para incidente | alertComment | Crie um comentário para um incidente existente com base na propriedade ID do incidente especificada. |
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| assignedTo | Cadeia de caracteres | Proprietário do incidente ou nulo se não for atribuído nenhum proprietário. Texto editável gratuito. |
| classificação | microsoft.graph.security.alertClassification | A especificação do incidente. Os valores possíveis são: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| comentários | coleção microsoft.graph.security.alertComment | Matriz de comentários criados pela equipa de Operações de Segurança (SecOps) quando o incidente é gerido. |
| createdDateTime | DateTimeOffset | Hora em que o incidente foi criado pela primeira vez. |
| customTags | String collection | A coleção de etiquetas personalizadas associadas a um incidente. |
| description | Cadeia de caracteres | Descrição do incidente. |
| description | Cadeia de caracteres | Uma Cadeia de texto formatado que descreve o incidente |
| determinação | microsoft.graph.security.alertDetermination | Especifica a determinação do incidente. Os valores possíveis são: unknown, , apt, securityPersonnelmalware, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedUser, phishing, , maliciousUserActivity, , clean, insufficientData, , confirmedUserActivity, , lineOfBusinessApplication, . unknownFutureValue |
| displayName | Cadeia de caracteres | O nome do incidente. |
| id | Cadeia de caracteres | Identificador exclusivo para representar o incidente. |
| incidentWebUrl | Cadeia de caracteres | O URL da página do incidente no portal do Microsoft 365 Defender. |
| lastModifiedBy | Cadeia de caracteres | A identidade que modificou o incidente pela última vez. |
| lastUpdateDateTime | DateTimeOffset | Hora em que o incidente foi atualizado pela última vez. |
| recommendedActions | Cadeia de caracteres | Uma cadeia de texto formatado que representa as ações que são recodificados para resolve o incidente. |
| recommendedHuntingQueries | Collection(microsoft.graph.security.recommendedHuntingQuery) | Lista de consultas de Linguagem de Consulta Kusto de investigação (KQL) relacionadas com o incidente. |
| redirectIncidentId | Cadeia de caracteres | Apenas preenchido no caso de um incidente ser agrupado juntamente com outro incidente, como parte da lógica que processa incidentes. Nesse caso, a propriedade status é redirected. |
| resolverComment | Cadeia de caracteres | Entrada do utilizador que explica a resolução do incidente e a opção de classificação. Esta propriedade contém texto editável gratuito. |
| severity | alertSeverity | Indica o possível impacto nos recursos. Quanto maior for a gravidade, maior será o impacto. Normalmente, os itens de gravidade mais elevados requerem a atenção mais imediata. Os valores possíveis são: unknown, informational, low, medium, high, unknownFutureValue. |
| status | microsoft.graph.security.incidentStatus | O status do incidente. Os valores possíveis são: active, resolved, inProgress, redirected, unknownFutureValue, e awaitingAction. |
| summary | Cadeia de caracteres | A descrição geral de um ataque. Quando aplicável, o resumo contém detalhes sobre o que ocorreu, os recursos afetados e o tipo de ataque. |
| systemTags | String collection | A coleção de etiquetas de sistema associadas ao incidente. |
| tenantId | String | O Microsoft Entra inquilino no qual o alerta foi criado. |
incidentStatus values (valores incidentStatus)
A tabela seguinte lista os membros de uma enumeração evoluível. Utilize o cabeçalho do Prefer: include-unknown-enum-members pedido para obter os seguintes valores nesta enumeração evoluível: awaitingAction.
| Member | Descrição |
|---|---|
| ativo | O incidente está no estado ativo. |
| resolvido | O incidente está no estado resolvido. |
| inProgress | O incidente está em curso de mitigação. |
| redirecionado | O incidente foi intercalado com outro incidente. O ID do incidente de destino é apresentado na propriedade redirectIncidentId . |
| unknownFutureValue | Valor da sentinela de enumeração evoluível. Não usar. |
| waitingAction | Este incidente requer ações de Especialistas do Defender à espera da sua ação. Apenas os especialistas do Microsoft 365 Defender podem definir este status. |
Relações
| Relação | Tipo | Descrição |
|---|---|---|
| alertas | coleção microsoft.graph.security.alert | A lista de alertas relacionados. Suporta o $expand. |
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"recommendedActions" : "String",
"recommendedHuntingQueries" : [{"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"}],
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String"
}