واجهة برمجة تطبيقات أحداث Microsoft Defender XDR ونوع مورد الحوادث

ينطبق على:

ملاحظة

جرب واجهات برمجة التطبيقات الجديدة باستخدام واجهة برمجة تطبيقات أمان MS Graph. تعرف على المزيد في: استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn.

هام

تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

الحادث هو مجموعة من التنبيهات ذات الصلة التي تساعد في وصف الهجوم. يتم تجميع الأحداث من كيانات مختلفة في مؤسستك تلقائيا بواسطة Microsoft Defender XDR. يمكنك استخدام واجهة برمجة تطبيقات الحوادث للوصول برمجيا إلى حوادث مؤسستك والتنبيهات ذات الصلة.

الحصص النسبية وتخصيص الموارد

يمكنك طلب ما يصل إلى 50 مكالمة في الدقيقة أو 1500 مكالمة في الساعة. لكل أسلوب أيضا حصصه النسبية الخاصة. لمزيد من المعلومات حول الحصص النسبية الخاصة بالأسلوب، راجع المقالة المعنية للأسلوب الذي تريد استخدامه.

429 يشير رمز استجابة HTTP إلى أنك وصلت إلى حصة نسبية، إما حسب عدد الطلبات المرسلة، أو حسب وقت التشغيل المخصص. يتضمن نص الاستجابة الوقت حتى تتم إعادة تعيين الحصة النسبية التي وصلت إليها.

الأذونات

تتطلب واجهة برمجة تطبيقات الحوادث أنواعا مختلفة من الأذونات لكل أسلوب من أساليبها. لمزيد من المعلومات حول الأذونات المطلوبة، راجع مقالة الأسلوب المعني.

أساليب

أسلوب نوع المرجع الوصف
سرد الأحداث قائمة الحوادث احصل على قائمة بالحوادث.
حدث التحديث حادث تحديث حدث معين.
الحصول على الحادث حادث الحصول على حادث واحد.

نص الطلب والاستجابة والأمثلة

راجع مقالات الأسلوب المعنية للحصول على مزيد من التفاصيل حول كيفية إنشاء طلب أو تحليل استجابة، وللا للحصول على أمثلة عملية.

الخصائص الشائعة

مال نوع الوصف
معرف الحدث طويل معرف فريد للحادث.
redirectIncidentId طويل يقبل القيم الخالية معرف الحدث الذي تم دمج الحدث الحالي فيه.
اسم الحدث خيط اسم الحدث.
وقت الإنشاء DateTimeOffset تاريخ ووقت (بالتوقيت العالمي المتفق عليه) تم إنشاء الحدث.
lastUpdateTime DateTimeOffset تاريخ ووقت آخر تحديث للحادث (بالتوقيت العالمي المتفق عليه).
معين إلى خيط مالك الحدث.
شده قائمة تعداد خطورة الحدث. القيم المحتملة هي: UnSpecifiedو LowInformationalو Mediumو و.High
حالة قائمة تعداد يحدد الحالة الحالية للحادث. القيم المحتملة هي: Activeو ResolvedInProgressو و.Redirected
تصنيف قائمة تعداد مواصفات الحادث. القيم المحتملة هي: TruePositiveو Informational, expected activityو.FalsePositive
عزم قائمة تعداد تحديد تحديد الحدث.

قيم التحديد المحتملة لكل تصنيف هي:

  • إيجابي حقيقي: Multistage attack (MultiStagedAttack)، Malicious user activity (MaliciousUserActivity)، Compromised account (CompromisedUser) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، Malware (البرامج الضارة)، (التصيد الاحتيالي)، PhishingUnwanted software (البرامج غير المرغوب فيها)، و Other (غير ذلك).
  • نشاط إعلامي متوقع:Security test (SecurityTesting)، Line-of-business application (LineOfBusinessApplication)، Confirmed activity (ConfirmedUserActivity) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، و Other (أخرى).
  • إيجابية خاطئة:Not malicious (تنظيف) - ضع في اعتبارك تغيير اسم قائمة التعداد في واجهة برمجة التطبيقات العامة وفقا لذلك، Not enough data to validate و(بيانات غير كافية)، و Other (غير ذلك).
  • العلامات قائمة السلاسل قائمة علامات الحوادث (customTags فقط).
    التعليقات قائمة بتعليقات الحوادث يحتوي كائن تعليق الحادث على: سلسلة التعليق، والسلسلة التي تم إنشاؤها بواسطة، ووقت تاريخ الإنشاء.
    تنبيهات قائمة التنبيه قائمة التنبيهات ذات الصلة. راجع الأمثلة في وثائق واجهة برمجة تطبيقات الحوادث القائمة .

    ملاحظة

    في حوالي 29 أغسطس 2022، سيتم إهمال قيم تحديد التنبيه المدعومة سابقا (Apt و SecurityPersonnel) ولن تكون متاحة عبر واجهة برمجة التطبيقات.

    تلميح

    هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.