Del via


Microsoft Defender XDR-hændelses-API'en og hændelsesressourcetypen

Gælder for:

Bemærk!

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.

Vigtigt!

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

En hændelse er en samling relaterede beskeder, der hjælper med at beskrive et angreb. Hændelser fra forskellige enheder i din organisation samles automatisk af Microsoft Defender XDR. Du kan bruge HÆNDELSES-API'en til programmeringsmæssigt at få adgang til organisationens hændelser og relaterede beskeder.

Kvoter og ressourceallokering

Du kan anmode om op til 50 opkald pr. minut eller 1.500 opkald pr. time. Hver metode har også sine egne kvoter. Du kan få flere oplysninger om metodespecifikke kvoter i den respektive artikel om den metode, du vil bruge.

En 429 HTTP-svarkode angiver, at du har nået en kvote, enten efter antal anmodninger, der er sendt, eller af den tildelte kørselstid. Brødteksten i svaret omfatter tiden, indtil den kvote, du har nået, nulstilles.

Tilladelser

Hændelses-API'en kræver forskellige typer tilladelser for hver af dens metoder. Du kan få flere oplysninger om påkrævede tilladelser i artiklen om den respektive metode.

Metoder

Metode Returtype Beskrivelse
Vis hændelser Hændelsesliste Få en liste over hændelser.
Opdater hændelse Hændelse Opdater en bestemt hændelse.
Hent hændelse Hændelse Få en enkelt hændelse.

Anmodningsbrødtekst, -svar og -eksempler

Se de respektive metodeartikler for at få flere oplysninger om, hvordan du konstruerer en anmodning eller fortolker et svar og for praktiske eksempler.

Almindelige egenskaber

Egenskab Type Beskrivelse
incidentId lang Entydigt id for hændelse.
redirectIncidentId lang, der kan være null Hændelses-id'et, som den aktuelle hændelse blev flettet med.
incidentName streng Navnet på hændelsen.
createdTime DateTimeOffset Den dato og det klokkeslæt (i UTC), hvor hændelsen blev oprettet.
lastUpdateTime DateTimeOffset Den dato og det klokkeslæt (i UTC), hvor hændelsen sidst blev opdateret.
tildelt til streng Ejer af hændelsen.
alvorlighed Optæller Alvorsgrad af hændelsen. De mulige værdier er: UnSpecified, Informational, Low, Mediumog High.
status Optæller Angiver den aktuelle status for hændelsen. De mulige værdier er: Active, InProgress, Resolvedog Redirected.
klassifikation Optæller Specifikation af hændelsen. De mulige værdier er: TruePositive, Informational, expected activityog FalsePositive.
bestemmelse Optæller Angiver afgørelsen af hændelsen.

De mulige bestemmelsesværdier for hver klassificering er:

  • Sand positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Malware Malware), Phishing (Phishing), Unwanted software (Uønsket software) og Other (Andet).
  • Oplysende, forventet aktivitet:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – overvej at ændre optællingsnavnet i den offentlige API tilsvarende og Other (Andet).
  • Falsk positiv:Not malicious (Clean) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Not enough data to validate InsufficientData) og Other (Other).
  • Tags strengliste Liste over hændelseskoder (kun customTags).
    kommentarer Liste over kommentarer til hændelser Objektet Incident Comment indeholder: kommentarstreng, createdBy-streng og createTime-dato/klokkeslæt.
    Indberetninger beskedliste Liste over relaterede beskeder. Se eksempler på API-dokumentation til listehændelser .

    Bemærk!

    Omkring den 29. august 2022 frarådes tidligere understøttede værdier for bestemmelse af beskeder (Apt og SecurityPersonnel) og er ikke længere tilgængelige via API'en.

    Tip

    Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.