![](/img/trans.png)
[英]Microsoft Graph - How to get associated files with the security alert "Unusual volume of file deletion"
[英]how can I get more details about security alert received vie Microsoft Security Graph API?
我正在使用 Security Graph API 將警報發送到 SIEM。 我收到的一些警報的細節很少。 這是示例,編輯了一些信息,但所有字段都存在:
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#security/alerts/$entity",
"id": "df59a25b7179858f9d891672dee4e4a48b718fe9271e6867b20a998463b1a703",
"azureTenantId": "a2c874c8-XXXX-XXXX-XXXX-fXXX56f81134",
"azureSubscriptionId": null,
"riskScore": null,
"tags": [],
"activityGroupName": null,
"assignedTo": null,
"category": "AnomalousToken",
"closedDateTime": null,
"comments": [],
"confidence": null,
"createdDateTime": "2022-01-05T20:52:18Z",
"description": "Anomalous token indicates that there are abnormal characteristics in the token such as token duration and authentication from unfamiliar IP address",
"detectionIds": [],
"eventDateTime": "2022-01-04T12:26:36.1726686Z",
"feedback": null,
"incidentIds": [],
"lastEventDateTime": null,
"lastModifiedDateTime": "2022-01-05T22:47:28.909877Z",
"recommendedActions": [],
"severity": "medium",
"sourceMaterials": [],
"status": "newAlert",
"title": "Anomalous Token",
"vendorInformation": {
"provider": "IPC",
"providerVersion": null,
"subProvider": null,
"vendor": "Microsoft"
},
"alertDetections": [],
"cloudAppStates": [],
"fileStates": [],
"hostStates": [],
"historyStates": [],
"investigationSecurityStates": [],
"malwareStates": [],
"messageSecurityStates": [],
"networkConnections": [],
"processes": [],
"registryKeyStates": [],
"securityResources": [],
"triggers": [],
"userStates": [
{
"aadUserId": "7b9b7027-XXXX-XXXX-bXXX-1XXXXXXX9e7",
"accountName": "NicXXX.XXXXX",
"domainName": "XXX.co.uk",
"emailRole": "unknown",
"isVpn": null,
"logonDateTime": "2022-01-04T12:26:36.1726686Z",
"logonId": null,
"logonIp": "102.11.1.15",
"logonLocation": "Accra, Greater Accra, GH",
"logonType": null,
"onPremisesSecurityIdentifier": null,
"riskScore": null,
"userAccountType": null,
"userPrincipalName": "NicXXX.XXXXX@XXX.co.uk"
}
],
"uriClickSecurityStates": [],
"vulnerabilityStates": []
}
簡而言之,我能看到的唯一信息是用戶從某些特定的 IP 生成了一些“異常令牌”。 但我想查看使用的主機名、令牌詳細信息、異常原因等。
我可以看到關於失敗的身份驗證嘗試 (azure AD)、可疑郵件轉發規則創建 (Exchange) 等的類似警報幾乎是空的 - 所有這些都沒有重要的細節。 我怎樣才能得到它們? 或者也許 - 我應該如何重新配置 Graph 或數據源,以允許 Graph 訪問詳細信息?
我試圖重現您的問題,但我也沒有獲得有關令牌和主機名的詳細信息。 希望您也獲得部分內容: 206 error 。
如果成功,此方法會在響應正文中返回200 OK
響應代碼和警報object。 206 錯誤代碼表示一個或多個批量操作在聯合到其提供者時失敗。 響應將包含來自各個提供商的每個威脅情報指標的成功/錯誤數據。 有關更多信息,您可以關注此Microsoft 文檔。
我閱讀了幾份 Microsoft 文檔,發現異常令牌屬於風險檢測標志。 登錄風險表示給定身份驗證請求未經身份所有者授權的概率。
可以使用Microsoft 的內部和外部威脅情報來源(包括安全研究人員、執法專業人員、Microsoft 的安全團隊和其他受信任的來源)實時或離線計算這些風險。
異常令牌檢測類型為離線。此檢測表明令牌中存在異常特征,例如令牌生命周期異常或從不熟悉的位置播放令牌。 此檢測涵蓋 Session 令牌和刷新令牌。
Microsoft 於 2021 年 7 月傳達了異常令牌檢測計划
Azure AD 身份保護現在提供異常令牌檢測。 此功能可以檢測到令牌中存在異常特征,例如時間激活和來自不熟悉的 IP 地址的身份驗證。
因此,從上述結論建議您提出Microsoft 支持請求,我認為他們可以幫助路由到 Microsoft 的安全團隊。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.