Microsoft Defender XDR-hændelses-API'en og hændelsesressourcetypen
Gælder for:
Bemærk!
Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
En hændelse er en samling relaterede beskeder, der hjælper med at beskrive et angreb. Hændelser fra forskellige enheder i din organisation samles automatisk af Microsoft Defender XDR. Du kan bruge HÆNDELSES-API'en til programmeringsmæssigt at få adgang til organisationens hændelser og relaterede beskeder.
Kvoter og ressourceallokering
Du kan anmode om op til 50 opkald pr. minut eller 1.500 opkald pr. time. Hver metode har også sine egne kvoter. Du kan få flere oplysninger om metodespecifikke kvoter i den respektive artikel om den metode, du vil bruge.
En 429
HTTP-svarkode angiver, at du har nået en kvote, enten efter antal anmodninger, der er sendt, eller af den tildelte kørselstid. Brødteksten i svaret omfatter tiden, indtil den kvote, du har nået, nulstilles.
Tilladelser
Hændelses-API'en kræver forskellige typer tilladelser for hver af dens metoder. Du kan få flere oplysninger om påkrævede tilladelser i artiklen om den respektive metode.
Metoder
Metode | Returtype | Beskrivelse |
---|---|---|
Vis hændelser | Hændelsesliste | Få en liste over hændelser. |
Opdater hændelse | Hændelse | Opdater en bestemt hændelse. |
Hent hændelse | Hændelse | Få en enkelt hændelse. |
Anmodningsbrødtekst, -svar og -eksempler
Se de respektive metodeartikler for at få flere oplysninger om, hvordan du konstruerer en anmodning eller fortolker et svar og for praktiske eksempler.
Almindelige egenskaber
Egenskab | Type | Beskrivelse |
---|---|---|
incidentId | lang | Entydigt id for hændelse. |
redirectIncidentId | lang, der kan være null | Hændelses-id'et, som den aktuelle hændelse blev flettet med. |
incidentName | streng | Navnet på hændelsen. |
createdTime | DateTimeOffset | Den dato og det klokkeslæt (i UTC), hvor hændelsen blev oprettet. |
lastUpdateTime | DateTimeOffset | Den dato og det klokkeslæt (i UTC), hvor hændelsen sidst blev opdateret. |
tildelt til | streng | Ejer af hændelsen. |
alvorlighed | Optæller | Alvorsgrad af hændelsen. De mulige værdier er: UnSpecified , Informational , Low , Medium og High . |
status | Optæller | Angiver den aktuelle status for hændelsen. De mulige værdier er: Active , InProgress , Resolved og Redirected . |
klassifikation | Optæller | Specifikation af hændelsen. De mulige værdier er: TruePositive , Informational, expected activity og FalsePositive . |
bestemmelse | Optæller | Angiver afgørelsen af hændelsen. De mulige bestemmelsesværdier for hver klassificering er: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Malware Malware), Phishing (Phishing), Unwanted software (Uønsket software) og Other (Andet). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – overvej at ændre optællingsnavnet i den offentlige API tilsvarende og Other (Andet). Not malicious (Clean) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Not enough data to validate InsufficientData) og Other (Other). |
Tags | strengliste | Liste over hændelseskoder (kun customTags). |
kommentarer | Liste over kommentarer til hændelser | Objektet Incident Comment indeholder: kommentarstreng, createdBy-streng og createTime-dato/klokkeslæt. |
Indberetninger | beskedliste | Liste over relaterede beskeder. Se eksempler på API-dokumentation til listehændelser . |
Bemærk!
Omkring den 29. august 2022 frarådes tidligere understøttede værdier for bestemmelse af beskeder (Apt
og SecurityPersonnel
) og er ikke længere tilgængelige via API'en.
Relaterede artikler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.