Číst v angličtině

Sdílet prostřednictvím


Rozhraní API pro incidenty microsoft defenderu XDR a typ prostředku incidentů

Platí pro:

Poznámka

Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Incident je kolekce souvisejících výstrah, které pomáhají popsat útok. Události z různých entit ve vaší organizaci se automaticky agregují pomocí XDR v programu Microsoft Defender. Pomocí rozhraní API pro incidenty můžete programově přistupovat k incidentům a souvisejícím výstrahám vaší organizace.

Kvóty a přidělení prostředků

Můžete požádat až o 50 hovorů za minutu nebo 1 500 hovorů za hodinu. Každá metoda má také své vlastní kvóty. Další informace o kvótách specifických pro metodu najdete v příslušném článku pro metodu, kterou chcete použít.

429 Kód odpovědi HTTP označuje, že jste dosáhli kvóty, a to buď podle počtu odeslaných požadavků, nebo podle přidělené doby běhu. Text odpovědi zahrnuje dobu do resetování kvóty, kterou jste dosáhli.

Oprávnění

Rozhraní API incidentů vyžaduje pro každou ze svých metod různé druhy oprávnění. Další informace o požadovaných oprávněních najdete v článku příslušné metody.

Metody

Metoda Návratový typ Popis
Uvádění incidentů Seznam incidentů Získejte seznam incidentů.
Aktualizace incidentu Událost Aktualizujte konkrétní incident.
Získání incidentu Událost Získejte jeden incident.

Text požadavku, odpověď a příklady

Další podrobnosti o tom, jak vytvořit požadavek nebo parsovat odpověď, a praktické příklady najdete v příslušných článcích o metodách.

Společné vlastnosti

Vlastnost Typ Popis
incidentId dlouhý Jedinečné ID incidentu
redirectIncidentId long s možnou hodnotou null ID incidentu, do které se aktuální incident sloučil.
název incidentu řetězec Název incidentu.
createdTime DateTimeOffset Datum a čas vytvoření incidentu (v UTC).
lastUpdateTime DateTimeOffset Datum a čas (v UTC) byl incident naposledy aktualizován.
přiřazeno řetězec Vlastník incidentu.
závažnost Výčet Závažnost incidentu. Možné hodnoty jsou: UnSpecified, Informational, Low, Mediuma High.
stav Výčet Určuje aktuální stav incidentu. Možné hodnoty jsou: Active, InProgress, Resolveda Redirected.
klasifikace Výčet Specifikace incidentu. Možné hodnoty jsou: TruePositive, Informational, expected activitya FalsePositive.
určení Výčet Určuje určení incidentu.

Možné hodnoty určení pro každou klasifikaci jsou:

  • PravdivěMalware pozitivní: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) a Other (Other).
  • Informační, očekávaná aktivita:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API a Other (Jiné).
  • Falešně pozitivní:Not malicious (Čisté) – zvažte odpovídající Not enough data to validate změnu názvu výčtu ve veřejném rozhraní API (InsufficientData) a Other (Other).
  • visačky seznam řetězců Seznam značek incidentů (pouze customTags)
    komentáře Seznam komentářů k incidentu Objekt Komentáře incidentu obsahuje řetězec komentáře, řetězec createdBy a createTime date time.
    Výstrahy seznam výstrah Seznam souvisejících výstrah Projděte si příklady v dokumentaci k rozhraní API seznamu incidentů .

    Poznámka

    Kolem 29. srpna 2022 budou dříve podporované hodnoty určení výstrah (Apt a SecurityPersonnel) zastaralé a nebudou už dostupné prostřednictvím rozhraní API.

    Tip

    Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.