Tapausten Microsoft Defender XDR ohjelmointirajapinta ja tapausten resurssityyppi
Koskee seuraavia:
Huomautus
Kokeile uusia ohjelmointirajapintojamme MS Graphin suojauksen ohjelmointirajapinnan avulla. Lisätietoja on osoitteessa: Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen - Microsoft Graph | Microsoft Learn.
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Tapaus on kokoelma aiheeseen liittyviä hälytyksiä, jotka auttavat kuvaamaan hyökkäystä. organisaation eri entiteettien tapahtumat koostetaan automaattisesti Microsoft Defender XDR mukaan. Tapausten ohjelmointirajapinnan avulla voit käyttää ohjelmallisesti organisaatiosi tapauksia ja niihin liittyviä hälytyksiä.
Kiintiöt ja resurssien varaaminen
Voit pyytää jopa 50 puhelua minuutissa tai 1 500 puhelua tunnissa. Jokaisella menetelmällä on myös omat kiintiönsä. Lisätietoja menetelmäkohtaisista kiintiöistä on haluamasi menetelmän vastaavassa artikkelissa.
429 HTTP-vastauskoodi ilmaisee, että olet saavuttanut kiintiön joko lähetettyjen pyyntöjen määrän tai varatun suoritusajan mukaan. Vastauksen leipäteksti sisältää ajan siihen, kunnes saavuttamasi kiintiö palautetaan.
Käyttöoikeudet
Tapausten ohjelmointirajapinta edellyttää erityyppisiä käyttöoikeuksia kullekin menetelmälleen. Lisätietoja tarvittavista käyttöoikeuksista on vastaavan menetelmän artikkelissa.
Menetelmiä
| Menetelmä | Palautustyyppi | Kuvaus |
|---|---|---|
| Tapausten luettelo | Tapausluettelo | Hanki luettelo tapauksista. |
| Päivitä tapaus | Tapaus | Päivitä tietty tapaus. |
| Hae tapaus | Tapaus | Ota yksi tapaus. |
Pyynnön leipäteksti, vastaus ja esimerkkejä
Lisätietoja pyynnön muodostamisesta tai vastauksen jäsentämisestä on vastaavan menetelmän artikkeleissa ja käytännön esimerkkejä.
Yleiset ominaisuudet
| Ominaisuus | Kirjoita | Kuvaus |
|---|---|---|
| incidentId | Pitkä | Tapahtuman yksilöivä tunnus. |
| redirectIncidentId | tyhjäarvon salliva pitkä | Tapaustunnus, jonka kanssa nykyinen tapaus yhdistettiin. |
| IncidentName | Merkkijono | Tapahtuman nimi. |
| createdTime | DateTimeOffset | Tapahtuman luontipäivämäärä ja -kellonaika (UTC-ajassa). |
| lastUpdateTime | DateTimeOffset | Tapahtuman päivämäärä ja aika (UTC-tilassa) päivitettiin viimeksi. |
| assignedTo | Merkkijono | Tapahtuman omistaja. |
| Vakavuus | Enum | Tapahtuman vakavuus. Mahdollisia arvoja ovat : UnSpecified, Informational, Low, , Mediumja High. |
| Tila | Enum | Määrittää tapahtuman nykyisen tilan. Mahdollisia arvoja ovat : Active, InProgress, Resolved, ja Redirected. |
| Luokittelu | Enum | Tapahtuman määritys. Mahdollisia arvoja ovat : TruePositive, Informational, expected activityja FalsePositive. |
| Määrittäminen | Enum | Määrittää tapahtuman määrittämisen. Kunkin luokituksen mahdolliset määritysarvot ovat seuraavat: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Malware (Haittaohjelma), Phishing (Tietojenkalastelu), Unwanted software (Ei-toivottuOhjelmisto) ja Other (Muu). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti ja Other (Muu). Not malicious (Puhdas) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Not enough data to validate (InsufficientData) ja Other (Muu). |
| Tunnisteet | merkkijonoluettelo | Tapahtumatunnisteiden luettelo. |
| Kommentit | Tapauskommenttien luettelo | Incident Comment -objekti sisältää: kommenttimerkkijonon, createdBy-merkkijonon ja createTime-päivämäärän ajan. |
| Ilmoitukset | ilmoitusluettelo | Liittyvien ilmoitusten luettelo. Katso esimerkkejä luettelotapausten ohjelmointirajapintadokumentaatiosta. |
Huomautus
Noin 29. elokuuta 2022 aiemmin tuetut hälytysten määritysarvot (Apt ja SecurityPersonnel) ovat vanhentuneet, eivätkä ne ole enää käytettävissä ohjelmointirajapinnan kautta.
Aiheeseen liittyviä artikkeleita
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle