Compartir a través de


API de incidentes XDR de Microsoft Defender y el tipo de recurso incidents

Se aplica a:

Nota:

Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Un incidente es una colección de alertas relacionadas que ayudan a describir un ataque. Los eventos de diferentes entidades de la organización se agregan automáticamente mediante XDR de Microsoft Defender. Puede usar la API de incidentes para acceder mediante programación a los incidentes de la organización y a las alertas relacionadas.

Cuotas y asignación de recursos

Puede solicitar hasta 50 llamadas por minuto o 1500 llamadas por hora. Cada método también tiene sus propias cuotas. Para obtener más información sobre las cuotas específicas del método, consulte el artículo correspondiente para el método que desea usar.

Un 429 código de respuesta HTTP indica que ha alcanzado una cuota, ya sea por número de solicitudes enviadas o por tiempo de ejecución asignado. El cuerpo de la respuesta incluye el tiempo hasta que se restablece la cuota alcanzada.

Permissions

La API de incidentes requiere diferentes tipos de permisos para cada uno de sus métodos. Para obtener más información sobre los permisos necesarios, consulte el artículo del método correspondiente.

Métodos

Método Tipo de valor devuelto Descripción
Lista de Incidentes Lista de incidentes Obtenga una lista de incidentes.
Incidente de actualización Incidente Actualice un incidente específico.
Obtener incidente Incidente Obtenga un único incidente.

Cuerpo de la solicitud, respuesta y ejemplos

Consulte los artículos del método correspondiente para obtener más detalles sobre cómo construir una solicitud o analizar una respuesta, y para obtener ejemplos prácticos.

Propiedades comunes

Propiedad Tipo Descripción
incidentId largo Identificador único del incidente.
redirectIncidentId long que admite valores NULL Identificador de incidente al que se combinó el incidente actual.
incidentName string Nombre del incidente.
createdTime DateTimeOffset Fecha y hora (en UTC) en la que se creó el incidente.
lastUpdateTime DateTimeOffset Fecha y hora (en UTC) que el incidente se actualizó por última vez.
assignedTo string Propietario del incidente.
severity Enum Gravedad del incidente. Los valores posibles son: UnSpecified, Informational, Low, Mediumy High.
status Enum Especifica el estado actual del incidente. Los valores posibles son Active, InProgress, Resolved y Redirected
classification Enum Especificación del incidente. Los valores posibles son: TruePositive, Informational, expected activityy FalsePositive.
determinación Enum Especifica la determinación del incidente.

Los valores de determinación posibles para cada clasificación son:

  • Verdadero positivo: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) y Other (Other).
  • Actividad informativa y esperada:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia y Other (Otros).
  • Falso positivo:Not malicious (Limpiar): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Not enough data to validate (InsufficientData) y Other (Other).
  • tags lista de cadenas Lista de etiquetas de incidentes (solo customTags).
    comments Lista de comentarios de incidentes El objeto Incident Comment contiene: cadena de comentario, cadena createdBy y fecha y hora de createTime.
    alertas lista de alertas Lista de alertas relacionadas. Consulte ejemplos en la documentación de la API De lista de incidentes .

    Nota:

    Alrededor del 29 de agosto de 2022, los valores de determinación de alertas admitidos anteriormente (Apt y SecurityPersonnel) quedarán en desuso y ya no estarán disponibles a través de la API.

    Sugerencia

    ¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.