命名空间:microsoft.graph.security
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
Microsoft 365 Defender 中的事件是相关 警报 实例和关联元数据的集合,这些实例和相关元数据反映了租户中发生攻击的情况。
Microsoft 365 服务和应用将在检测到可疑或恶意事件或活动时创建警报。 单个警报可提供有关已完成或持续攻击的有价值的线索。 但是,攻击通常对不同类型的实体(如设备、用户和邮箱)使用多种技术。 结果是租户中的多个实体将收到多个警报。 由于将单个警报组合在一起以深入了解攻击可能非常困难且耗时,Microsoft 365 Defender 会自动将警报及其相关信息聚合到事件中。
方法
| 方法 | 返回类型 | 说明 |
|---|---|---|
| 列出事件 | microsoft.graph.security.incident 集合 | 获取Microsoft 365 Defender 创建 的事件 对象列表,以跟踪组织中的攻击。 |
| 获取事件 | microsoft.graph.security.incident | 读取 事件 对象的属性和关系。 |
| 更新事件 | microsoft.graph.security.incident | 更新 事件 对象的属性。 |
| 为事件创建注释 | alertComment | 根据指定的 事件ID 属性为现有事件创建注释。 |
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| assignedTo | String | 事件的所有者,如果未分配所有者,则为 null。 免费的可编辑文本。 |
| classification | microsoft.graph.security.alertClassification | 事件的规范。 可能的值包括 unknown、falsePositive、truePositive、informationalExpectedActivity、unknownFutureValue。 |
| comments | microsoft.graph.security.alertComment 集合 | 安全运营 (SecOps 在管理事件时) 团队创建的注释数组。 |
| createdDateTime | DateTimeOffset | 首次创建事件的时间。 |
| customTags | 字符串集合 | 与事件关联的自定义标记的集合。 |
| description | String | 事件的说明。 |
| description | String | 描述事件的 RTF 字符串 |
| 测定 | microsoft.graph.security.alertDetermination | 指定事件的确定。 可能的值为:unknown、、malwareapt、multiStagedAttacksecurityTestingcompromisedUserothersecurityPersonnelunwantedSoftware、phishing、maliciousUserActivityclean、insufficientData、、confirmedUserActivity、、lineOfBusinessApplication、 。 unknownFutureValue |
| displayName | String | 事件名称。 |
| id | String | 用于表示事件的唯一标识符。 |
| incidentWebUrl | String | Microsoft 365 Defender 门户中事件页的 URL。 |
| lastModifiedBy | String | 上次修改事件的标识。 |
| lastUpdateDateTime | DateTimeOffset | 上次更新事件的时间。 |
| recommendedActions | String | 一个格式文本字符串,表示为了解决事件而要执行的作。 |
| recommendedHuntingQueries | 集合 (microsoft.graph.security.recommendedHuntingQuery) | 与事件相关的搜寻Kusto 查询语言 (KQL) 查询的列表。 |
| redirectIncidentId | String | 仅当事件与另一个事件组合在一起时填充,作为处理事件的逻辑的一部分。 在这种情况下, 状态 属性为 redirected。 |
| resolvingComment | String | 说明事件解决方法和分类选择的用户输入。 此属性包含免费的可编辑文本。 |
| severity | alertSeverity | 指示对资产可能产生的影响。 严重性越高,影响越大。 通常,严重性较高的项目需要最立即的关注。 可能的值包括 unknown、informational、low、medium、high、unknownFutureValue。 |
| status | microsoft.graph.security.incidentStatus | 事件的状态。 可取值为:active、resolved、inProgress、redirected、unknownFutureValue 和 awaitingAction。 |
| 摘要 | String | 攻击概述。 如果适用,摘要包含所发生事件、受影响的资产和攻击类型的详细信息。 |
| systemTags | 字符串集合 | 与事件关联的系统标记的集合。 |
| tenantId | String | 在其中创建警报的Microsoft Entra租户。 |
incidentStatus 值
下表列出了 可演变枚举的成员。 使用 Prefer: include-unknown-enum-members 请求标头获取此可演变枚举中的以下值: awaitingAction。
| 成员 | 说明 |
|---|---|
| 积极 | 事件处于活动状态。 |
| 已解决 | 事件处于已解决状态。 |
| inProgress | 事件正在进行缓解。 |
| 重 定向 | 该事件已与另一个事件合并。 目标事件 ID 显示在 redirectIncidentId 属性中。 |
| unknownFutureValue | 可演变枚举 sentinel 值。 请勿使用。 |
| awaitingAction | 此事件需要 Defender 专家在等待作时执行作。 只有Microsoft 365 名 Defender 专家可以设置此状态。 |
关系
| 关系 | 类型 | 说明 |
|---|---|---|
| 警报 | microsoft.graph.security.alert 集合 | 相关警报的列表。 支持 $expand。 |
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"recommendedActions" : "String",
"recommendedHuntingQueries" : [{"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"}],
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String"
}