Del via

Api til opdatering af hændelser

  • Artikel

Gælder for:

Bemærk!

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn. Du kan få oplysninger om den nye API til opdateringshændelser ved hjælp af MS Graph-sikkerheds-API'en under Opdateringshændelse.

Vigtigt!

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

API-beskrivelse

Opdaterer egenskaber for eksisterende hændelse. Egenskaber, der kan opdateres, er: status, determination, classificationassignedTo, tags, og comments.

Kvoter, ressourceallokering og andre begrænsninger

  1. Du kan foretage op til 50 opkald pr. minut eller 1.500 opkald pr. time, før du når grænsen for begrænsning.
  2. Du kan kun angive egenskaben determination , hvis classification er angivet til TruePositive.

Hvis din anmodning er begrænset, returnerer den en 429 svarkode. Svarteksten angiver det tidspunkt, hvor du kan begynde at foretage nye kald.

Tilladelser

En af følgende tilladelser er påkrævet for at kalde denne API. Du kan få mere at vide, herunder hvordan du vælger tilladelser, under Få adgang til Microsoft Defender XDR-API'er.

Tilladelsestype Tilladelse Vist navn for tilladelse
Program Incident.ReadWrite.All Læs og skriv alle hændelser
Uddelegeret (arbejds- eller skolekonto) Incident.ReadWrite Læs og skriv hændelser

Bemærk!

Når du henter et token ved hjælp af brugerlegitimationsoplysninger, skal brugeren have tilladelse til at opdatere hændelsen på portalen.

HTTP-anmodning

PATCH /api/incidents/{id}

Anmodningsheadere

Navn Type Beskrivelse
Autorisation String Ihændehaver {token}. Påkrævet.
Indholdstype String application/json. Påkrævet.

Brødtekst i anmodning

Angiv værdierne for de felter, der skal opdateres, i anmodningens brødtekst. Eksisterende egenskaber, der ikke er inkluderet i anmodningens brødtekst, bevarer deres værdier, medmindre de skal genberegnes på grund af ændringer af relaterede værdier. Hvis du vil opnå den bedste ydeevne, skal du udelade eksisterende værdier, der ikke blev ændret.

Egenskab Type Beskrivelse
status Optæller Angiver den aktuelle status for hændelsen. De mulige værdier er: Active, Resolved, InProgressog Redirected.
tildelt til streng Ejer af hændelsen.
klassifikation Optæller Specifikation af hændelsen. De mulige værdier er: TruePositive (Sand positiv), InformationalExpectedActivity (Oplysende, forventet aktivitet) og FalsePositive (Falsk positiv).
bestemmelse Optæller Angiver afgørelsen af hændelsen.

De mulige bestemmelsesværdier for hver klassificering er:

  • Sand positiv: MultiStagedAttack (flerfaset angreb), MaliciousUserActivity (ondsindet brugeraktivitet), CompromisedAccount (kompromitteret konto) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Malware Malware), Phishing (Phishing), UnwantedSoftware (Uønsket software) og Other (Andet).
  • Oplysende, forventet aktivitet:SecurityTesting (Sikkerhedstest), LineOfBusinessApplication (Line-of-business-program), ConfirmedActivity (Bekræftet aktivitet) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed og Other (Andet).
  • Falsk positiv:Clean (Ikke skadelig) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed NoEnoughDataToValidate (Ikke nok data til at validere) og Other (Andet).
    		•
    Tags strengliste Liste over hændelseskoder.
    kommentar streng Kommentar, der skal føjes til hændelsen.

    Bemærk!

    Omkring den 29. august 2022 frarådes tidligere understøttede værdier for bestemmelse af beskeder ('Apt' og 'SecurityPersonnel') og er ikke længere tilgængelige via API'en.

    Svar

    Hvis det lykkes, returnerer 200 OKdenne metode . Svarbrødteksten indeholder hændelsesobjektet med opdaterede egenskaber. Hvis der ikke blev fundet en hændelse med det angivne id, returnerer 404 Not Foundmetoden .

    Eksempel

    Eksempel på anmodning

    Her er et eksempel på anmodningen.

     PATCH https://api.security.microsoft.com/api/incidents/{id}

    Eksempel på anmodning om data

    {
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "TruePositive",
    "determination": "Malware",
    "tags": ["Yossi's playground", "Don't mess with the Zohan"],
    "comment": "pen testing"
}

    Tip

    Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.