Compartir a través de

Respuestas de error de Microsoft Graph API para seguridad

  • Artículo

Espacio de nombres: microsoft.graph

Los errores de la API para seguridad de Microsoft Graph se devuelven mediante el código de estado de contenido parcial HTTP 206 estándar y se entregan a través de un encabezado de advertencia.

Errores

Microsoft Graph API para seguridad es un servicio federado que recibe varias respuestas de todos los proveedores de datos. Cuando microsoft Graph API para seguridad recibe un error HTTP, devolverá un encabezado de advertencia con el siguiente formato:

{Vendor}/{Provider}/{StatusCode}/{LatencyInMs}

Este encabezado de advertencia solo se devuelve a los clientes cuando uno de los proveedores de datos devuelve un código de error distinto de 2xx o 404. Por ejemplo:

  • HttpStatusCode.Forbidden (403) podría devolverse si no se concede el acceso al recurso.
  • Si un proveedor agota el tiempo de espera, HttpStatusCode.GatewayTimeout (504) se devuelve en el encabezado de advertencia.
  • Si se produce un error interno del proveedor, HttpStatusCode.InternalServerError (500) se usa en el encabezado de advertencia.

Si un proveedor de datos devuelve 2xx o 404, no se muestra en el encabezado de advertencia porque se espera que estos códigos se realicen correctamente o cuando no se encuentren datos, respectivamente. En un sistema federado, se espera un 404 no encontrado, ya que muchas veces los datos solo son conocidos por uno o varios proveedores, pero no todos.

Ejemplo:

Un usuario solicita security/alerts/{alert_id}.

Provider 1: 404 (provider does not have a record of this alert ID)
Provider 2: 504 (provider timed out)
Provider 3: 200 (success)
Provider 4: 403 (customer has not licensed this provider)

Dado que 404 y 200 son condiciones esperadas, el encabezado de advertencia contiene lo siguiente:

Warning : 199 - "{Vendor2}/{Provider 2}/504/10000",    (usual timeout limit is set at 10 seconds)
          199 - "{Vendor4}/{Provider 4}/403/10"       (Provider 4 rejected the request in 10 ms)

Nota: Cada encabezado HTTP es una colección de subelementos, por lo que los usuarios pueden enumerar el encabezado Warning y comprobar todos los elementos.

Errores de acción masiva del indicador de amenazas

Las acciones masivas (crear, actualizar y eliminar) pueden generar dos códigos de error posibles diferentes:

  • Un código de error 400 indica que el cuerpo proporcionado tuvo un error durante la serialización.
  • Un código de error 206 indica que se produjo un error en una o varias de las acciones masivas cuando se federó a su proveedor. La respuesta contendrá datos de éxito o error de los proveedores individuales para cada indicador de inteligencia sobre amenazas. A diferencia de las alertas, toda la información de error potencial se incluirá en el cuerpo de la respuesta para las acciones masivas de tiIndicator .

Restricciones

El $top parámetro de consulta OData tiene un límite de 1000 alertas. Se recomienda incluir solo $top y no $skip en la primera consulta GET. Puede usar @odata.nextLink para la paginación. Si necesita usar $skip, tiene un límite de 500 alertas. Por ejemplo, /security/alerts?$top=10&$skip=500 devolverá un código de respuesta 200 OK, pero /security/alerts?$top=10&$skip=501 devolverá un código de respuesta 400 Bad Request. Para obtener más información, vea respuestas de error de la API Microsoft Graph Security.

Una solución alternativa para este límite es usar el $filter parámetro de consulta OData con el eventDateTime de la entidad de alerta de la API para seguridad de Microsoft Graph, mediante ?$filter=eventDateTime gt {YYYY-MM-DDT00:00:00.000Z} y reemplazando el valor dateTime por la última alerta (1500th). También puede establecer un intervalo para ; eventDateTimepor ejemplo, alerts?$filter=eventDateTime **gt** 2018-11-**11**T00:00:00.000Z&eventDateTime **lt** 2018-11-**12**T00:00:00.000Z.

Contenido relacionado

Si tiene problemas con la autorización, consulte Autorización y la API para seguridad de Microsoft Graph.