如何获取有关通过 Microsoft Security Graph API 收到的安全警报的更多详细信息？

Question

我正在使用 Security Graph API 将警报发送到 SIEM。 我收到的一些警报的细节很少。 这是示例，编辑了一些信息，但所有字段都存在：

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#security/alerts/$entity",
    "id": "df59a25b7179858f9d891672dee4e4a48b718fe9271e6867b20a998463b1a703",
    "azureTenantId": "a2c874c8-XXXX-XXXX-XXXX-fXXX56f81134",
    "azureSubscriptionId": null,
    "riskScore": null,
    "tags": [],
    "activityGroupName": null,
    "assignedTo": null,
    "category": "AnomalousToken",
    "closedDateTime": null,
    "comments": [],
    "confidence": null,
    "createdDateTime": "2022-01-05T20:52:18Z",
    "description": "Anomalous token indicates that there are abnormal characteristics in the token such as token duration and authentication from unfamiliar IP address",
    "detectionIds": [],
    "eventDateTime": "2022-01-04T12:26:36.1726686Z",
    "feedback": null,
    "incidentIds": [],
    "lastEventDateTime": null,
    "lastModifiedDateTime": "2022-01-05T22:47:28.909877Z",
    "recommendedActions": [],
    "severity": "medium",
    "sourceMaterials": [],
    "status": "newAlert",
    "title": "Anomalous Token",
    "vendorInformation": {
        "provider": "IPC",
        "providerVersion": null,
        "subProvider": null,
        "vendor": "Microsoft"
    },
    "alertDetections": [],
    "cloudAppStates": [],
    "fileStates": [],
    "hostStates": [],
    "historyStates": [],
    "investigationSecurityStates": [],
    "malwareStates": [],
    "messageSecurityStates": [],
    "networkConnections": [],
    "processes": [],
    "registryKeyStates": [],
    "securityResources": [],
    "triggers": [],
    "userStates": [
        {
            "aadUserId": "7b9b7027-XXXX-XXXX-bXXX-1XXXXXXX9e7",
            "accountName": "NicXXX.XXXXX",
            "domainName": "XXX.co.uk",
            "emailRole": "unknown",
            "isVpn": null,
            "logonDateTime": "2022-01-04T12:26:36.1726686Z",
            "logonId": null,
            "logonIp": "102.11.1.15",
            "logonLocation": "Accra, Greater Accra, GH",
            "logonType": null,
            "onPremisesSecurityIdentifier": null,
            "riskScore": null,
            "userAccountType": null,
            "userPrincipalName": "NicXXX.XXXXX@XXX.co.uk"
        }
    ],
    "uriClickSecurityStates": [],
    "vulnerabilityStates": []
}

简而言之，我能看到的唯一信息是用户从某些特定的 IP 生成了一些“异常令牌”。 但我想查看使用的主机名、令牌详细信息、异常原因等。
我可以看到关于失败的身份验证尝试 (azure AD)、可疑邮件转发规则创建 (Exchange) 等的类似警报几乎是空的 - 所有这些都没有重要的细节。 我怎样才能得到它们？ 或者也许 - 我应该如何重新配置 Graph 或数据源，以允许 Graph 访问详细信息？

Answer 1

我试图重现您的问题，但我也没有获得有关令牌和主机名的详细信息。 希望您也获得部分内容： 206 error 。

如果成功，此方法会在响应正文中返回200 OK响应代码和警报object。 206 错误代码表示一个或多个批量操作在联合到其提供者时失败。 响应将包含来自各个提供商的每个威胁情报指标的成功/错误数据。 有关更多信息，您可以关注此Microsoft 文档。

我阅读了几份 Microsoft 文档，发现异常令牌属于风险检测标志。 登录风险表示给定身份验证请求未经身份所有者授权的概率。

可以使用Microsoft 的内部和外部威胁情报来源（包括安全研究人员、执法专业人员、Microsoft 的安全团队和其他受信任的来源）实时或离线计算这些风险。

异常令牌检测类型为离线。此检测表明令牌中存在异常特征，例如令牌生命周期异常或从不熟悉的位置播放令牌。 此检测涵盖 Session 令牌和刷新令牌。

Microsoft 于 2021 年 7 月传达了异常令牌检测计划

Azure AD 身份保护现在提供异常令牌检测。 此功能可以检测到令牌中存在异常特征，例如时间激活和来自不熟悉的 IP 地址的身份验证。

因此，从上述结论建议您提出Microsoft 支持请求，我认为他们可以帮助路由到 Microsoft 的安全团队。