Microsoft 365 Defender incidents-API und des Ressourcentyps für Incidents
Hinweis
Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender bewerten und pilotieren können.
Gilt für:
Hinweis
Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Ein Incident ist eine Sammlung verwandter Warnungen, die einen Angriff beschreiben. Ereignisse von verschiedenen Entitäten in Ihrem organization werden automatisch von Microsoft 365 Defender aggregiert. Sie können die Incidents-API verwenden, um programmgesteuert auf die Incidents und die zugehörigen Warnungen Ihrer organization zuzugreifen.
Kontingente und Ressourcenzuordnung
Sie können bis zu 50 Anrufe pro Minute oder 1500 Anrufe pro Stunde anfordern. Jede Methode verfügt auch über eigene Kontingente. Weitere Informationen zu methodenspezifischen Kontingenten finden Sie im entsprechenden Artikel für die Methode, die Sie verwenden möchten.
Ein 429 HTTP-Antwortcode gibt an, dass Sie ein Kontingent erreicht haben, entweder anhand der Anzahl der gesendeten Anforderungen oder aufgrund der zugewiesenen Laufzeit. Der Antworttext enthält die Zeit bis zum Zurücksetzen des erreichten Kontingents.
Berechtigungen
Die Incidents-API erfordert unterschiedliche Arten von Berechtigungen für jede ihrer Methoden. Weitere Informationen zu erforderlichen Berechtigungen finden Sie im Artikel zur jeweiligen Methode.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Auflisten von Vorfällen | Incidentliste | Rufen Sie eine Liste der Incidents ab. |
| Aktualisieren von Vorfällen | Vorfall | Aktualisieren eines bestimmten Incidents. |
| Incident abrufen | Vorfall | Rufen Sie einen einzelnen Incident ab. |
Anforderungstext, Antwort und Beispiele
Weitere Informationen zum Erstellen einer Anforderung oder zum Analysieren einer Antwort sowie praktische Beispiele finden Sie in den entsprechenden Methodenartikeln.
Allgemeine Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| incidentId | long | Eindeutige Incident-ID. |
| redirectIncidentId | nullable long | Die Incident-ID, mit der der aktuelle Incident zusammengeführt wurde. |
| incidentName | string | Der Name des Incidents. |
| createdTime | DateTimeOffset | Das Datum und die Uhrzeit (in UTC), zu dem der Vorfall erstellt wurde. |
| lastUpdateTime | DateTimeOffset | Das Datum und die Uhrzeit (in UTC), zu dem der Incident zuletzt aktualisiert wurde. |
| assignedTo | string | Besitzer des Incidents. |
| Schweregrad | Enum | Schweregrad des Incidents. Mögliche Werte sind: UnSpecified, Informational, Low, Mediumund High. |
| status | Enum | Gibt die aktuelle status des Incidents an. Mögliche Werte sind: Active, InProgress, Resolved, und Redirected. |
| classification | Enum | Spezifikation des Incidents. Mögliche Werte sind: TruePositive, Informational, expected activityund FalsePositive. |
| Bestimmung | Enum | Gibt die Ermittlung des Incidents an. Mögliche Bestimmungswerte für jede Klassifizierung sind: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) und Other (Other) zu ändern. Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend und Other (Sonstige) zu ändern. Not malicious (Bereinigen) – Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend (InsufficientData) und Other (Sonstige) zu Not enough data to validate ändern. |
| tags | Zeichenfolgenliste | Liste der Incidenttags. |
| Kommentare | Liste der Incidentkommentare | Incident Comment-Objekt enthält: kommentarzeichenfolge, createdBy string und createTime date time. |
| Warnungen | Warnungsliste | Liste der zugehörigen Warnungen. Beispiele finden Sie in der Dokumentation zur Auflisten der Incidents-API . |
Hinweis
Ab dem 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte ("Apt" und "SecurityPersonnel") veraltet und nicht mehr über die API verfügbar.
Verwandte Artikel
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft 365 Defender Tech Community.