API de incidentes XDR de Microsoft Defender y el tipo de recurso incidents
Se aplica a:
Nota
Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Un incidente es una colección de alertas relacionadas que ayudan a describir un ataque. Los eventos de diferentes entidades de la organización se agregan automáticamente mediante XDR de Microsoft Defender. Puede usar la API de incidentes para acceder mediante programación a los incidentes de la organización y a las alertas relacionadas.
Puede solicitar hasta 50 llamadas por minuto o 1500 llamadas por hora. Cada método también tiene sus propias cuotas. Para obtener más información sobre las cuotas específicas del método, consulte el artículo correspondiente para el método que desea usar.
Un 429
código de respuesta HTTP indica que ha alcanzado una cuota, ya sea por número de solicitudes enviadas o por tiempo de ejecución asignado. El cuerpo de la respuesta incluye el tiempo hasta que se restablece la cuota alcanzada.
La API de incidentes requiere diferentes tipos de permisos para cada uno de sus métodos. Para obtener más información sobre los permisos necesarios, consulte el artículo del método correspondiente.
Método | Tipo de valor devuelto | Descripción |
---|---|---|
Lista de Incidentes | Lista de incidentes | Obtenga una lista de incidentes. |
Incidente de actualización | Incidente | Actualice un incidente específico. |
Obtener incidente | Incidente | Obtenga un único incidente. |
Consulte los artículos del método correspondiente para obtener más detalles sobre cómo construir una solicitud o analizar una respuesta, y para obtener ejemplos prácticos.
Propiedad | Tipo | Descripción |
---|---|---|
incidentId | largo | Identificador único del incidente. |
redirectIncidentId | long que admite valores NULL | Identificador de incidente al que se combinó el incidente actual. |
incidentName | string | Nombre del incidente. |
createdTime | DateTimeOffset | Fecha y hora (en UTC) en la que se creó el incidente. |
lastUpdateTime | DateTimeOffset | Fecha y hora (en UTC) que el incidente se actualizó por última vez. |
assignedTo | string | Propietario del incidente. |
severity | Enum | Gravedad del incidente. Los valores posibles son: UnSpecified , Informational , Low , Medium y High . |
status | Enum | Especifica el estado actual del incidente. Los valores posibles son Active , InProgress , Resolved y Redirected |
classification | Enum | Especificación del incidente. Los valores posibles son: TruePositive , Informational, expected activity y FalsePositive . |
determinación | Enum | Especifica la determinación del incidente. Los valores de determinación posibles para cada clasificación son: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) y Other (Other). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia y Other (Otros). Not malicious (Limpiar): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Not enough data to validate (InsufficientData) y Other (Other). |
tags | lista de cadenas | Lista de etiquetas de incidentes (solo customTags). |
comments | Lista de comentarios de incidentes | El objeto Incident Comment contiene: cadena de comentario, cadena createdBy y fecha y hora de createTime. |
alertas | lista de alertas | Lista de alertas relacionadas. Consulte ejemplos en la documentación de la API De lista de incidentes . |
Nota
Alrededor del 29 de agosto de 2022, los valores de determinación de alertas admitidos anteriormente (Apt
y SecurityPersonnel
) quedarán en desuso y ya no estarán disponibles a través de la API.
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.