Lue englanniksi

Jaa


Microsoft Defenderin XDR-tapausten ohjelmointirajapinta ja tapausten resurssityyppi

Koskee seuraavia:

Huomautus

Kokeile uusia ohjelmointirajapintojamme MS Graphin suojauksen ohjelmointirajapinnan avulla. Lisätietoja on osoitteessa: Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen - Microsoft Graph | Microsoft Learn.

Tärkeä

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Tapaus on kokoelma aiheeseen liittyviä hälytyksiä, jotka auttavat kuvaamaan hyökkäystä. Microsoft Defender XDR koostaa automaattisesti organisaation eri entiteettien tapahtumat. Tapausten ohjelmointirajapinnan avulla voit käyttää ohjelmallisesti organisaatiosi tapauksia ja niihin liittyviä hälytyksiä.

Kiintiöt ja resurssien varaaminen

Voit pyytää jopa 50 puhelua minuutissa tai 1 500 puhelua tunnissa. Jokaisella menetelmällä on myös omat kiintiönsä. Lisätietoja menetelmäkohtaisista kiintiöistä on haluamasi menetelmän vastaavassa artikkelissa.

429 HTTP-vastauskoodi ilmaisee, että olet saavuttanut kiintiön joko lähetettyjen pyyntöjen määrän tai varatun suoritusajan mukaan. Vastauksen leipäteksti sisältää ajan siihen, kunnes saavuttamasi kiintiö palautetaan.

Käyttöoikeudet

Tapausten ohjelmointirajapinta edellyttää erityyppisiä käyttöoikeuksia kullekin menetelmälleen. Lisätietoja tarvittavista käyttöoikeuksista on vastaavan menetelmän artikkelissa.

Menetelmät

Menetelmä Palautustyyppi Kuvaus
Tapausten luettelo Tapausluettelo Hanki luettelo tapauksista.
Päivitä tapaus Tapaus Päivitä tietty tapaus.
Hae tapaus Tapaus Ota yksi tapaus.

Pyynnön leipäteksti, vastaus ja esimerkkejä

Lisätietoja pyynnön muodostamisesta tai vastauksen jäsentämisestä on vastaavan menetelmän artikkeleissa ja käytännön esimerkkejä.

Yleiset ominaisuudet

Ominaisuus Kirjoita Kuvaus
incidentId pitkä Tapahtuman yksilöivä tunnus.
redirectIncidentId tyhjäarvon salliva pitkä Tapaustunnus, jonka kanssa nykyinen tapaus yhdistettiin.
IncidentName merkkijono Tapahtuman nimi.
createdTime DateTimeOffset Tapahtuman luontipäivämäärä ja -kellonaika (UTC-ajassa).
lastUpdateTime DateTimeOffset Tapahtuman päivämäärä ja aika (UTC-tilassa) päivitettiin viimeksi.
assignedTo merkkijono Tapahtuman omistaja.
vakavuus Luettelointi Tapahtuman vakavuus. Mahdollisia arvoja ovat : UnSpecified, Informational, Low, , Mediumja High.
tila Luettelointi Määrittää tapahtuman nykyisen tilan. Mahdollisia arvoja ovat : Active, InProgress, Resolved, ja Redirected.
luokitus Luettelointi Tapahtuman määritys. Mahdollisia arvoja ovat : TruePositive, Informational, expected activityja FalsePositive.
määrätietoisuus Luettelointi Määrittää tapahtuman määrittämisen.

Kunkin luokituksen mahdolliset määritysarvot ovat seuraavat:

  • Tosi positiivinen: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Malware (Haittaohjelma), Phishing (Tietojenkalastelu), Unwanted software (Ei-toivottuOhjelmisto) ja Other (Muu).
  • Tietoinen, odotettu toiminto:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti ja Other (Muu).
  • Epätosi-positiivinen:Not malicious (Puhdas) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Not enough data to validate (InsufficientData) ja Other (Muu).
  • Tunnisteet merkkijonoluettelo Tapahtumatunnisteiden luettelo (vain mukautetut tunnisteet).
    Kommentit Tapauskommenttien luettelo Incident Comment -objekti sisältää: kommenttimerkkijonon, createdBy-merkkijonon ja createTime-päivämäärän ajan.
    Ilmoitukset ilmoitusluettelo Liittyvien ilmoitusten luettelo. Katso esimerkkejä luettelotapausten ohjelmointirajapintadokumentaatiosta.

    Huomautus

    Noin 29. elokuuta 2022 aiemmin tuetut hälytysten määritysarvot (Apt ja SecurityPersonnel) ovat vanhentuneet, eivätkä ne ole enää käytettävissä ohjelmointirajapinnan kautta.

    Vihje

    Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.