名前空間: microsoft.graph.security
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
1 つ以上の アラート リソースを既存の インシデントに移動します。
この API は、次の国内クラウド展開で使用できます。
| グローバル サービス |
米国政府機関 L4 |
米国政府機関 L5 (DOD) |
21Vianet が運営する中国 |
| ✅ |
✅ |
✅ |
❌ |
アクセス許可
この API の最小特権としてマークされているアクセス許可またはアクセス許可を選択します。
アプリで必要な場合にのみ、より高い特権のアクセス許可またはアクセス許可を使用します。 委任されたアクセス許可とアプリケーションのアクセス許可の詳細については、「アクセス許可の種類」を参照してください。 これらのアクセス許可の詳細については、「アクセス許可のリファレンス」を参照してください。
| アクセス許可の種類 |
最小特権アクセス許可 |
より高い特権のアクセス許可 |
| 委任 (職場または学校のアカウント) |
SecurityData.Manage.All |
注意事項なし。 |
| 委任 (個人用 Microsoft アカウント) |
サポートされていません。 |
サポートされていません。 |
| アプリケーション |
SecurityData.Manage.All |
注意事項なし。 |
重要
職場または学校アカウントを使用した委任されたアクセスの場合、サインインしているユーザーには、サポートされているMicrosoft Entraロールまたはこの操作に必要なアクセス許可を付与するカスタム ロールが割り当てられている必要があります。 この操作では、必要最小限の特権のみを提供する次の組み込みロールがサポートされています。
-
Security Operator。 アラートを管理し、Microsoft 365 Defender ポータルでセキュリティ アラートを表示、調査、対応できます。
これは、この操作の最小特権ロールです。
-
セキュリティ管理者。 Microsoft 365 Defender ポータルでセキュリティ関連の機能を管理するためのアクセス許可を持ちます。これには、セキュリティの脅威とアラートの管理が含まれます。
HTTP 要求
POST /security/alerts_v2/moveAlerts
| 名前 |
説明 |
| Authorization |
ベアラー {token}。 必須です。
認証と認可についての詳細をご覧ください。 |
| Content-Type |
application/json. 必須です。 |
要求本文
要求本文で、次のパラメーターを含む JSON オブジェクトを指定します。
| パラメーター |
型 |
説明 |
| alertIds |
String collection |
必須です。 移動する アラート の ID。 |
| incidentId |
String |
省略可能。 ターゲット インシデントの ID。
nullを含む要求によって、新しいインシデントが作成されます。 |
| alertComment |
String |
省略可能。 アラートを移動するときに追加するコメント。 |
| newCorrelationReasons |
microsoft.graph.security.correlationReason |
省略可能。 移動操作に関連付ける関連付けの理由。 このオブジェクトは、複数の値を指定できるフラグ列挙型です。 |
応答
成功した場合、このアクションは応答本文に 200 OK 応答コードと microsoft.graph.security.mergeResponse オブジェクトを返します。
例
例 1: インシデントにアラートを移動する
要求
次の例では、2 つのアラートを既存のインシデントに移動します。
POST https://graph.microsoft.com/beta/security/alerts_v2/moveAlerts
Content-Type: application/json
{
"alertIds": [
"da637551227677560813_-961444813",
"da637551227677560813_-961444814"
],
"incidentId": "2972395",
"alertComment": "Moving alerts for investigation consolidation",
"newCorrelationReasons": "sameAsset, temporalProximity"
}
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Beta.Security.Alerts_v2.MicrosoftGraphSecurityMoveAlerts;
using Microsoft.Graph.Beta.Models.Security;
var requestBody = new MoveAlertsPostRequestBody
{
AlertIds = new List<string>
{
"da637551227677560813_-961444813",
"da637551227677560813_-961444814",
},
IncidentId = "2972395",
AlertComment = "Moving alerts for investigation consolidation",
NewCorrelationReasons = CorrelationReason.SameAsset | CorrelationReason.TemporalProximity,
};
// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Security.Alerts_v2.MicrosoftGraphSecurityMoveAlerts.PostAsync(requestBody);
// Code snippets are only available for the latest major version. Current major version is $v0.*
// Dependencies
import (
"context"
msgraphsdk "github.com/microsoftgraph/msgraph-beta-sdk-go"
graphsecurity "github.com/microsoftgraph/msgraph-beta-sdk-go/security"
graphmodelssecurity "github.com/microsoftgraph/msgraph-beta-sdk-go/models/security"
//other-imports
)
requestBody := graphsecurity.NewMoveAlertsPostRequestBody()
alertIds := []string {
"da637551227677560813_-961444813",
"da637551227677560813_-961444814",
}
requestBody.SetAlertIds(alertIds)
incidentId := "2972395"
requestBody.SetIncidentId(&incidentId)
alertComment := "Moving alerts for investigation consolidation"
requestBody.SetAlertComment(&alertComment)
newCorrelationReasons := graphmodels.SAMEASSET, TEMPORALPROXIMITY_CORRELATIONREASON
requestBody.SetNewCorrelationReasons(&newCorrelationReasons)
// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
microsoftGraphSecurityMoveAlerts, err := graphClient.Security().Alerts_v2().MicrosoftGraphSecurityMoveAlerts().Post(context.Background(), requestBody, nil)
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
com.microsoft.graph.beta.security.alerts_v2.microsoftgraphsecuritymovealerts.MoveAlertsPostRequestBody moveAlertsPostRequestBody = new com.microsoft.graph.beta.security.alerts_v2.microsoftgraphsecuritymovealerts.MoveAlertsPostRequestBody();
LinkedList<String> alertIds = new LinkedList<String>();
alertIds.add("da637551227677560813_-961444813");
alertIds.add("da637551227677560813_-961444814");
moveAlertsPostRequestBody.setAlertIds(alertIds);
moveAlertsPostRequestBody.setIncidentId("2972395");
moveAlertsPostRequestBody.setAlertComment("Moving alerts for investigation consolidation");
moveAlertsPostRequestBody.setNewCorrelationReasons(EnumSet.of(com.microsoft.graph.beta.models.security.CorrelationReason.SameAsset, com.microsoft.graph.beta.models.security.CorrelationReason.TemporalProximity));
var result = graphClient.security().alertsV2().microsoftGraphSecurityMoveAlerts().post(moveAlertsPostRequestBody);
const options = {
authProvider,
};
const client = Client.init(options);
const mergeResponse = {
alertIds: [
'da637551227677560813_-961444813',
'da637551227677560813_-961444814'
],
incidentId: '2972395',
alertComment: 'Moving alerts for investigation consolidation',
newCorrelationReasons: 'sameAsset, temporalProximity'
};
await client.api('/security/alerts_v2/moveAlerts')
.version('beta')
.post(mergeResponse);
<?php
use Microsoft\Graph\Beta\GraphServiceClient;
use Microsoft\Graph\Beta\Generated\Security\Alerts_v2\MicrosoftGraphSecurityMoveAlerts\MoveAlertsPostRequestBody;
use Microsoft\Graph\Beta\Generated\Models\Security\CorrelationReason;
$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);
$requestBody = new MoveAlertsPostRequestBody();
$requestBody->setAlertIds(['da637551227677560813_-961444813', 'da637551227677560813_-961444814', ]);
$requestBody->setIncidentId('2972395');
$requestBody->setAlertComment('Moving alerts for investigation consolidation');
$requestBody->setNewCorrelationReasons(new CorrelationReason('sameAsset, temporalProximity'));
$result = $graphServiceClient->security()->alerts_v2()->microsoftGraphSecurityMoveAlerts()->post($requestBody)->wait();
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph_beta import GraphServiceClient
from msgraph_beta.generated.security.alerts_v2.microsoft_graph_security_move_alerts.move_alerts_post_request_body import MoveAlertsPostRequestBody
from msgraph_beta.generated.models.correlation_reason import CorrelationReason
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python
request_body = MoveAlertsPostRequestBody(
alert_ids = [
"da637551227677560813_-961444813",
"da637551227677560813_-961444814",
],
incident_id = "2972395",
alert_comment = "Moving alerts for investigation consolidation",
new_correlation_reasons = CorrelationReason.SameAsset | CorrelationReason.TemporalProximity,
)
result = await graph_client.security.alerts_v2.microsoft_graph_security_move_alerts.post(request_body)
応答
次の例は応答を示しています。
HTTP/1.1 200 OK
Content-type: application/json
{
"targetIncidentId": "2972395"
}