Freigeben über


Microsoft Defender XDR-Incidents-API und der Ressourcentyp "Incidents"

Gilt für:

Hinweis

Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Ein Incident ist eine Sammlung verwandter Warnungen, die einen Angriff beschreiben. Ereignisse von verschiedenen Entitäten in Ihrer Organisation werden automatisch von Microsoft Defender XDR aggregiert. Sie können die Incidents-API verwenden, um programmgesteuert auf die Incidents und zugehörigen Warnungen Ihrer Organisation zuzugreifen.

Kontingente und Ressourcenzuordnung

Sie können bis zu 50 Anrufe pro Minute oder 1.500 Anrufe pro Stunde anfordern. Jede Methode verfügt auch über eigene Kontingente. Weitere Informationen zu methodenspezifischen Kontingenten finden Sie im entsprechenden Artikel für die Methode, die Sie verwenden möchten.

Ein 429 HTTP-Antwortcode gibt an, dass Sie ein Kontingent erreicht haben, entweder anhand der Anzahl der gesendeten Anforderungen oder aufgrund der zugewiesenen Laufzeit. Der Antworttext enthält die Zeit bis zum Zurücksetzen des erreichten Kontingents.

Berechtigungen

Die Incidents-API erfordert unterschiedliche Arten von Berechtigungen für jede ihrer Methoden. Weitere Informationen zu erforderlichen Berechtigungen finden Sie im Artikel zur jeweiligen Methode.

Methoden

Methode Rückgabetyp Beschreibung
Auflisten von Vorfällen Incidentliste Rufen Sie eine Liste der Incidents ab.
Aktualisieren von Vorfällen Vorfall Aktualisieren eines bestimmten Incidents.
Incident abrufen Vorfall Rufen Sie einen einzelnen Incident ab.

Anforderungstext, Antwort und Beispiele

Weitere Informationen zum Erstellen einer Anforderung oder zum Analysieren einer Antwort sowie praktische Beispiele finden Sie in den entsprechenden Methodenartikeln.

Allgemeine Eigenschaften

Eigenschaft Typ Beschreibung
incidentId long Eindeutige Incident-ID.
redirectIncidentId nullable long Die Incident-ID, mit der der aktuelle Incident zusammengeführt wurde.
incidentName string Der Name des Incidents.
createdTime DateTimeOffset Das Datum und die Uhrzeit (in UTC), zu dem der Vorfall erstellt wurde.
lastUpdateTime DateTimeOffset Das Datum und die Uhrzeit (in UTC), zu dem der Incident zuletzt aktualisiert wurde.
assignedTo string Besitzer des Incidents.
Schweregrad Enum Schweregrad des Incidents. Mögliche Werte sind: UnSpecified, Informational, Low, Mediumund High.
status Enum Gibt den aktuellen Status des Incidents an. Mögliche Werte sind: Active, InProgress, Resolved, und Redirected.
classification Enum Spezifikation des Incidents. Mögliche Werte sind: TruePositive, Informational, expected activityund FalsePositive.
Entschlossenheit Enum Gibt die Ermittlung des Incidents an.

Mögliche Bestimmungswerte für jede Klassifizierung sind:

  • Richtig positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) und Other (Other) zu ändern.
  • Information, erwartete Aktivität:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend und Other (Sonstige) zu ändern.
  • Falsch positiv:Not malicious (Bereinigen) – Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend (InsufficientData) und Other (Sonstige) zu Not enough data to validate ändern.
  • tags Zeichenfolgenliste Liste der Incidenttags (nur customTags).
    Kommentare Liste der Incidentkommentare Incident Comment-Objekt enthält: kommentarzeichenfolge, createdBy string und createTime date time.
    Warnungen Warnungsliste Liste der zugehörigen Warnungen. Beispiele finden Sie in der Dokumentation zur Auflisten der Incidents-API .

    Hinweis

    Um den 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte (Apt und SecurityPersonnel) veraltet und über die API nicht mehr verfügbar.

    Tipp

    Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.