Microsoft Defender XDR-Incidents-API und der Ressourcentyp "Incidents"
Gilt für:
Hinweis
Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Ein Incident ist eine Sammlung verwandter Warnungen, die einen Angriff beschreiben. Ereignisse von verschiedenen Entitäten in Ihrer Organisation werden automatisch von Microsoft Defender XDR aggregiert. Sie können die Incidents-API verwenden, um programmgesteuert auf die Incidents und zugehörigen Warnungen Ihrer Organisation zuzugreifen.
Kontingente und Ressourcenzuordnung
Sie können bis zu 50 Anrufe pro Minute oder 1.500 Anrufe pro Stunde anfordern. Jede Methode verfügt auch über eigene Kontingente. Weitere Informationen zu methodenspezifischen Kontingenten finden Sie im entsprechenden Artikel für die Methode, die Sie verwenden möchten.
Ein 429 HTTP-Antwortcode gibt an, dass Sie ein Kontingent erreicht haben, entweder anhand der Anzahl der gesendeten Anforderungen oder aufgrund der zugewiesenen Laufzeit. Der Antworttext enthält die Zeit bis zum Zurücksetzen des erreichten Kontingents.
Berechtigungen
Die Incidents-API erfordert unterschiedliche Arten von Berechtigungen für jede ihrer Methoden. Weitere Informationen zu erforderlichen Berechtigungen finden Sie im Artikel zur jeweiligen Methode.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Auflisten von Vorfällen | Incidentliste | Rufen Sie eine Liste der Incidents ab. |
| Aktualisieren von Vorfällen | Vorfall | Aktualisieren eines bestimmten Incidents. |
| Incident abrufen | Vorfall | Rufen Sie einen einzelnen Incident ab. |
Anforderungstext, Antwort und Beispiele
Weitere Informationen zum Erstellen einer Anforderung oder zum Analysieren einer Antwort sowie praktische Beispiele finden Sie in den entsprechenden Methodenartikeln.
Allgemeine Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| incidentId | long | Eindeutige Incident-ID. |
| redirectIncidentId | nullable long | Die Incident-ID, mit der der aktuelle Incident zusammengeführt wurde. |
| incidentName | string | Der Name des Incidents. |
| createdTime | DateTimeOffset | Das Datum und die Uhrzeit (in UTC), zu dem der Vorfall erstellt wurde. |
| lastUpdateTime | DateTimeOffset | Das Datum und die Uhrzeit (in UTC), zu dem der Incident zuletzt aktualisiert wurde. |
| assignedTo | string | Besitzer des Incidents. |
| Schweregrad | Enum | Schweregrad des Incidents. Mögliche Werte sind: UnSpecified, Informational, Low, Mediumund High. |
| status | Enum | Gibt den aktuellen Status des Incidents an. Mögliche Werte sind: Active, InProgress, Resolved, und Redirected. |
| classification | Enum | Spezifikation des Incidents. Mögliche Werte sind: TruePositive, Informational, expected activityund FalsePositive. |
| Entschlossenheit | Enum | Gibt die Ermittlung des Incidents an. Mögliche Bestimmungswerte für jede Klassifizierung sind: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) und Other (Other) zu ändern. Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend und Other (Sonstige) zu ändern. Not malicious (Bereinigen) – Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend (InsufficientData) und Other (Sonstige) zu Not enough data to validate ändern. |
| tags | Zeichenfolgenliste | Liste der Incidenttags (nur customTags). |
| Kommentare | Liste der Incidentkommentare | Incident Comment-Objekt enthält: kommentarzeichenfolge, createdBy string und createTime date time. |
| Warnungen | Warnungsliste | Liste der zugehörigen Warnungen. Beispiele finden Sie in der Dokumentation zur Auflisten der Incidents-API . |
Hinweis
Um den 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte (Apt und SecurityPersonnel) veraltet und über die API nicht mehr verfügbar.
Verwandte Artikel
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.