Rozhraní API pro incidenty microsoft defenderu XDR a typ prostředku incidentů
Platí pro:
Poznámka
Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Incident je kolekce souvisejících výstrah, které pomáhají popsat útok. Události z různých entit ve vaší organizaci se automaticky agregují pomocí XDR v programu Microsoft Defender. Pomocí rozhraní API pro incidenty můžete programově přistupovat k incidentům a souvisejícím výstrahám vaší organizace.
Můžete požádat až o 50 hovorů za minutu nebo 1 500 hovorů za hodinu. Každá metoda má také své vlastní kvóty. Další informace o kvótách specifických pro metodu najdete v příslušném článku pro metodu, kterou chcete použít.
429
Kód odpovědi HTTP označuje, že jste dosáhli kvóty, a to buď podle počtu odeslaných požadavků, nebo podle přidělené doby běhu. Text odpovědi zahrnuje dobu do resetování kvóty, kterou jste dosáhli.
Rozhraní API incidentů vyžaduje pro každou ze svých metod různé druhy oprávnění. Další informace o požadovaných oprávněních najdete v článku příslušné metody.
Metoda | Návratový typ | Popis |
---|---|---|
Uvádění incidentů | Seznam incidentů | Získejte seznam incidentů. |
Aktualizace incidentu | Událost | Aktualizujte konkrétní incident. |
Získání incidentu | Událost | Získejte jeden incident. |
Další podrobnosti o tom, jak vytvořit požadavek nebo parsovat odpověď, a praktické příklady najdete v příslušných článcích o metodách.
Vlastnost | Typ | Popis |
---|---|---|
incidentId | dlouhý | Jedinečné ID incidentu |
redirectIncidentId | long s možnou hodnotou null | ID incidentu, do které se aktuální incident sloučil. |
název incidentu | řetězec | Název incidentu. |
createdTime | DateTimeOffset | Datum a čas vytvoření incidentu (v UTC). |
lastUpdateTime | DateTimeOffset | Datum a čas (v UTC) byl incident naposledy aktualizován. |
přiřazeno | řetězec | Vlastník incidentu. |
závažnost | Výčet | Závažnost incidentu. Možné hodnoty jsou: UnSpecified , Informational , Low , Medium a High . |
stav | Výčet | Určuje aktuální stav incidentu. Možné hodnoty jsou: Active , InProgress , Resolved a Redirected . |
klasifikace | Výčet | Specifikace incidentu. Možné hodnoty jsou: TruePositive , Informational, expected activity a FalsePositive . |
určení | Výčet | Určuje určení incidentu. Možné hodnoty určení pro každou klasifikaci jsou: Malware pozitivní: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) a Other (Other). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API a Other (Jiné). Not malicious (Čisté) – zvažte odpovídající Not enough data to validate změnu názvu výčtu ve veřejném rozhraní API (InsufficientData) a Other (Other). |
visačky | seznam řetězců | Seznam značek incidentů (pouze customTags) |
komentáře | Seznam komentářů k incidentu | Objekt Komentáře incidentu obsahuje řetězec komentáře, řetězec createdBy a createTime date time. |
Výstrahy | seznam výstrah | Seznam souvisejících výstrah Projděte si příklady v dokumentaci k rozhraní API seznamu incidentů . |
Poznámka
Kolem 29. srpna 2022 budou dříve podporované hodnoty určení výstrah (Apt
a SecurityPersonnel
) zastaralé a nebudou už dostupné prostřednictvím rozhraní API.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.