命名空间:microsoft.graph.security
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
表示事件的修正作。 当Microsoft Defender XDR 专家标识所需的作时,它会创建一个任务供你查看和作。 通过门户或使用此 API 查看并对这些任务执行作。
继承自 microsoft.graph.entity。
方法
属性
| 属性 |
类型 |
说明 |
| actionStatus |
microsoft.graph.security.incidentTaskActionStatus |
作的执行状态。 可能的值包括 notStarted、inProgress、partiallyCompleted、completed、failed、unknownFutureValue。 有关详细信息,请参阅 incidentTaskActionStatus 值。 |
| actionType |
microsoft.graph.security.incidentTaskActionType |
要执行的修正作。 可能的值为:text、、stopAndQuarantineFileisolateDevice、collectInvestigationPackagesubmitIocRuledisableUserrunAntiVirusScanmarkUserAsCompromisedrestrictAppExecutionforceUserPasswordReset、softDeleteEmailrequireSignInhardDeleteEmailunIsolateDevice、unRestrictAppExecution、enableUser、 。 unknownFutureValue 有关详细信息,请参阅 incidentTaskActionType 值。 |
| createdByDisplayName |
String |
创建任务的实体的名称。 只读。 |
| createdDateTime |
DateTimeOffset |
任务的创建时间。 只读。 |
| description |
String |
修正作的说明。 |
| displayName |
String |
任务的标题。 |
| id |
String |
任务的唯一 GUID 标识符。 |
| lastModifiedByDisplayName |
String |
上次更新任务的实体的名称。 只读。 |
| lastModifiedDateTime |
DateTimeOffset |
任务的上次更新时间。 只读。 |
| responseAction |
microsoft.graph.security.incidentTaskResponseAction |
响应作。 |
| source |
microsoft.graph.security.incidentTaskSource |
任务的来源。 可能的值包括 defenderExpertsGuidedResponse、defenderExpertsManagedResponse、unknownFutureValue。 有关详细信息,请参阅 incidentTaskSource 值。 |
| status |
microsoft.graph.security.incidentTaskStatus |
当前任务状态。 此属性是唯一可以更新的属性。 可能的值包括 open、inProgress、completed、failed、notRelevant、unknownFutureValue。 有关详细信息,请参阅 incidentTaskStatus 值。 |
incidentTaskActionStatus 值
| 成员 |
说明 |
| notStarted |
与事件任务相关的作未启动。 |
| inProgress |
与事件任务相关的作是 inProgress。 |
| partiallyCompleted |
与事件任务相关的作已部分完成。 |
| 完成 |
与事件任务相关的作已完成。 |
| 失败 |
与事件任务相关的作失败。 |
| unknownFutureValue |
可演变枚举 sentinel 值。 请勿使用。 |
incidentTaskActionType 值
| 成员 |
说明 |
| text |
作可以是任何自由文本,例如,SOC 可以指导客户设置其设备的格式。 |
| isolateDevice |
使用Microsoft Defender for Endpoint应用完全网络隔离,防止设备连接到任何应用程序或服务。 |
| stopAndQuarantineFile |
使用 Microsoft Defender for Endpoint 从设备中删除文件。 |
| runAntiVirusScan |
在设备上执行Microsoft Defender防病毒扫描。 |
| collectInvestigationPackage |
使用 Microsoft Defender for Endpoint 收集设备日志并将其存储在 ZIP 文件中。 |
| restrictAppExecution |
将设备上的限制设置为仅允许使用Microsoft颁发的证书签名的可执行文件运行。 |
| submitIocRule |
提交 IOC 规则。 |
| forceUserPasswordReset |
强制用户重置其密码。 |
| disableUser |
暂时阻止用户登录到本地。 |
| markUserAsCompromised |
将 Azure Active Directory 中的用户风险级别设置为“高”。 |
| requireSignIn |
要求用户再次登录。 |
| hardDeleteEmail |
删除电子邮件。 |
| softDeleteEmail |
将电子邮件移动到已删除的文件夹。 |
| unIsolateDevice |
还原 isolateDevice 响应作。 |
| unRestrictAppExecution |
还原 restrictAppExecution 响应作。 |
| enableUser |
还原 disableUser 响应作。 |
| unknownFutureValue |
可演变枚举 sentinel 值。 请勿使用。 |
incidentTaskSource 值
| 成员 |
说明 |
| defenderExpertsGuidedResponse |
Defender Experts 事件任务正在等待客户执行。 |
| defenderExpertsManagedResponse |
Defender 专家事件任务执行由 Defender 专家执行。 |
| unknownFutureValue |
可演变枚举 sentinel 值。 请勿使用。 |
incidentTaskStatus 值
| 成员 |
说明 |
| 打开 |
事件任务标记为打开。 |
| inProgress |
事件任务标记为正在进行中。 |
| 完成 |
事件任务标记为已完成。 |
| 失败 |
事件任务标记为失败。 作执行失败也会将事件任务状态设置为“失败”。 |
| notRelevant |
事件任务标记为不相关。 |
| unknownFutureValue |
可演变枚举 sentinel 值。 请勿使用。 |
关系
JSON 表示形式
以下 JSON 显示了资源类型结构。
{
"@odata.type": "#microsoft.graph.security.incidentTask",
"id": "String (identifier)",
"status": "String",
"source": "String",
"displayName": "String",
"description": "String",
"createdDateTime": "String (timestamp)",
"createdByDisplayName": "String",
"lastModifiedDateTime": "String (timestamp)",
"lastModifiedByDisplayName": "String",
"actionStatus": "String",
"actionType": "String",
"incident": {
"@odata.type": "microsoft.graph.security.incident",
"id": "String"
}
}