名前空間: microsoft.graph.security
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
Microsoft 365 Defender のインシデントは、 相関アラート インスタンス と、テナントでの攻撃のストーリーを反映した関連付けられたメタデータのコレクションです。
Microsoft 365 サービスおよびアプリは、疑わしい、または悪意のあるイベントやアクティビティを検出した場合にアラートを作成します。 個々のアラートは、完了した攻撃、または進行中の攻撃に関する貴重な手がかりとなります。 ただし、攻撃は通常、デバイス、ユーザー、メールボックスなどの異なる種類のエンティティに対抗してさまざまな技術を採用しています。 その結果、テナント内の複数のエンティティに複数のアラートが表示されます。 個々のアラートを組み合わせて攻撃に関する分析情報を取得するのは困難で時間がかかるため、Microsoft 365 Defender はアラートとその関連情報を自動的にインシデントに集約します。
メソッド
| メソッド | 戻り値の種類 | 説明 |
|---|---|---|
| インシデントをリストする | microsoft.graph.security.incident コレクション | Organizationでの攻撃を追跡するために Microsoft 365 Defender によって作成されたインシデント オブジェクトの一覧を取得します。 |
| インシデントを取得する | microsoft.graph.security.incident | インシデント オブジェクトのプロパティとリレーションシップを読み取ります。 |
| インシデントを更新する | microsoft.graph.security.incident | インシデント オブジェクトのプロパティを更新します。 |
| インシデントのマージ | microsoft.graph.security.mergeResponse | 複数の インシデント リソースを 1 つのインシデントにマージします。 |
| インシデントのコメントを作成する | alertComment | 指定したインシデント ID プロパティに基づいて、既存の インシデント のコメント を 作成します。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| assignedTo | String | インシデントの所有者。所有者が割り当てられていない場合は null。 無料の編集可能なテキスト。 |
| classification | microsoft.graph.security.alertClassification | インシデントの仕様。 使用可能な値: unknown、falsePositive、truePositive、informationalExpectedActivity、unknownFutureValue。 |
| comments | microsoft.graph.security.alertComment コレクション | インシデントの管理時に Security Operations (SecOps) チームによって作成されたコメントの配列。 |
| createdDateTime | DateTimeOffset | インシデントが最初に作成された時刻。 |
| customTags | String collection | インシデントに関連付けられているカスタム タグのコレクション。 |
| 説明 | String | インシデントの説明。 |
| 説明 | String | インシデントを説明するリッチ テキスト文字列 |
| 決定 | microsoft.graph.security.alertDetermination | インシデントの決定を指定します。 使用可能な値は、 unknown、 apt、 malware、 securityPersonnel、 securityTesting、 unwantedSoftware、 othermultiStagedAttack、 compromisedUser、 phishing、 maliciousUserActivity、 clean、 insufficientData、 confirmedUserActivity、 lineOfBusinessApplication、 unknownFutureValueです。 |
| displayName | 文字列 | インシデント名。 |
| id | 文字列 | インシデントを表す一意の識別子。 |
| incidentWebUrl | 文字列 | Microsoft 365 Defender ポータルのインシデント ページの URL。 |
| lastModifiedBy | 文字列 | インシデントを最後に変更した ID。 |
| lastUpdateDateTime | DateTimeOffset | インシデントが最後に更新された時刻。 |
| priorityScore | Int | インシデントの優先度スコアは 0 から 100 で、 > 85 が最優先事項、15 から 85 の中優先度、15 個の低優先度 < 。 このスコアは機械学習を使用して生成され、重大度、中断への影響、脅威インテリジェンス、アラートの種類、資産の重要度、脅威分析、インシデントの希少性、追加の優先度シグナルなど、複数の要因に基づいています。 値を null することもできます。これは、機能がテナントに対して開かないことを示すか、スコアの値が保留中の計算であることを示します。 |
| recommendedActions | 文字列 | インシデントを解決するために実行するアクションを表すリッチ テキスト文字列。 |
| recommendedHuntingQueries | Collection(microsoft.graph.security.recommendedHuntingQuery) | インシデントに関連するハンティング Kusto 照会言語 (KQL) クエリの一覧。 |
| redirectIncidentId | 文字列 | インシデントを処理するロジックの一部として、インシデントが別のインシデントとグループ化されている場合にのみ設定されます。 このような場合、 status プロパティは redirected。 |
| resolvingComment | 文字列 | インシデントの解決と分類の選択を説明するユーザー入力。 このプロパティには、編集可能な無料のテキストが含まれています。 |
| severity | alertSeverity | 資産に与える可能性のある影響を示します。 重大度が高いほど、影響が大きくなります。 通常、重大度が高い項目では、最も早い注意が必要です。 使用可能な値: unknown、informational、low、medium、high、unknownFutureValue。 |
| status | microsoft.graph.security.incidentStatus | インシデントの状態。 使用可能な値: active、resolved、inProgress、redirected、unknownFutureValue、awaitingAction。 |
| 概要 | 文字列 | 攻撃の概要。 該当する場合、概要には、発生した内容、影響を受けた資産、攻撃の種類の詳細が含まれます。 |
| systemTags | String collection | インシデントに関連付けられているシステム タグのコレクション。 |
| tenantId | String | アラートが作成されたMicrosoft Entra テナント。 |
incidentStatus 値
次の表に、 進化可能な列挙体のメンバーを示します。
Prefer: include-unknown-enum-members要求ヘッダーを使用して、この進化可能な列挙型で次の値を取得します:awaitingAction。
| メンバー | 説明 |
|---|---|
| アクティブ | インシデントがアクティブな状態です。 |
| 解決済み | インシデントは解決済み状態です。 |
| inProgress | インシデントは軽減の進行中です。 |
| リダイレクト | インシデントは別のインシデントとマージされました。 ターゲット インシデント ID が redirectIncidentId プロパティに 表示されます。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
| awaitingAction | このインシデントには、アクションを待機している Defender エキスパートからのアクションが必要です。 この状態を設定できるのは、Microsoft 365 Defender エキスパートだけです。 |
リレーションシップ
| リレーションシップ | 型 | 説明 |
|---|---|---|
| アラート | microsoft.graph.security.alert コレクション | 関連するアラートの一覧。
$expand をサポートします。 |
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.security.incident",
"assignedTo": "String",
"classification": "String",
"comments": [{"@odata.type": "microsoft.graph.security.alertComment"}],
"createdDateTime": "String (timestamp)",
"customTags": ["String"],
"description" : "String",
"determination": "String",
"displayName": "String",
"id": "String (identifier)",
"incidentWebUrl": "String",
"lastModifiedBy": "String",
"lastUpdateDateTime": "String (timestamp)",
"recommendedActions" : "String",
"recommendedHuntingQueries" : [{"@odata.type": "microsoft.graph.security.recommendedHuntingQuery"}],
"redirectIncidentId": "String",
"resolvingComment": "String",
"severity": "String",
"status": "String",
"summary": "String",
"systemTags" : ["String"],
"tenantId": "String",
"priorityScore": "Int"
}