Microsoft Defenderin XDR-tapausten ohjelmointirajapinta ja tapausten resurssityyppi
Koskee seuraavia:
Huomautus
Kokeile uusia ohjelmointirajapintojamme MS Graphin suojauksen ohjelmointirajapinnan avulla. Lisätietoja on osoitteessa: Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen - Microsoft Graph | Microsoft Learn.
Tärkeä
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Tapaus on kokoelma aiheeseen liittyviä hälytyksiä, jotka auttavat kuvaamaan hyökkäystä. Microsoft Defender XDR koostaa automaattisesti organisaation eri entiteettien tapahtumat. Tapausten ohjelmointirajapinnan avulla voit käyttää ohjelmallisesti organisaatiosi tapauksia ja niihin liittyviä hälytyksiä.
Voit pyytää jopa 50 puhelua minuutissa tai 1 500 puhelua tunnissa. Jokaisella menetelmällä on myös omat kiintiönsä. Lisätietoja menetelmäkohtaisista kiintiöistä on haluamasi menetelmän vastaavassa artikkelissa.
429
HTTP-vastauskoodi ilmaisee, että olet saavuttanut kiintiön joko lähetettyjen pyyntöjen määrän tai varatun suoritusajan mukaan. Vastauksen leipäteksti sisältää ajan siihen, kunnes saavuttamasi kiintiö palautetaan.
Tapausten ohjelmointirajapinta edellyttää erityyppisiä käyttöoikeuksia kullekin menetelmälleen. Lisätietoja tarvittavista käyttöoikeuksista on vastaavan menetelmän artikkelissa.
Menetelmä | Palautustyyppi | Kuvaus |
---|---|---|
Tapausten luettelo | Tapausluettelo | Hanki luettelo tapauksista. |
Päivitä tapaus | Tapaus | Päivitä tietty tapaus. |
Hae tapaus | Tapaus | Ota yksi tapaus. |
Lisätietoja pyynnön muodostamisesta tai vastauksen jäsentämisestä on vastaavan menetelmän artikkeleissa ja käytännön esimerkkejä.
Ominaisuus | Kirjoita | Kuvaus |
---|---|---|
incidentId | pitkä | Tapahtuman yksilöivä tunnus. |
redirectIncidentId | tyhjäarvon salliva pitkä | Tapaustunnus, jonka kanssa nykyinen tapaus yhdistettiin. |
IncidentName | merkkijono | Tapahtuman nimi. |
createdTime | DateTimeOffset | Tapahtuman luontipäivämäärä ja -kellonaika (UTC-ajassa). |
lastUpdateTime | DateTimeOffset | Tapahtuman päivämäärä ja aika (UTC-tilassa) päivitettiin viimeksi. |
assignedTo | merkkijono | Tapahtuman omistaja. |
vakavuus | Luettelointi | Tapahtuman vakavuus. Mahdollisia arvoja ovat : UnSpecified , Informational , Low , , Medium ja High . |
tila | Luettelointi | Määrittää tapahtuman nykyisen tilan. Mahdollisia arvoja ovat : Active , InProgress , Resolved , ja Redirected . |
luokitus | Luettelointi | Tapahtuman määritys. Mahdollisia arvoja ovat : TruePositive , Informational, expected activity ja FalsePositive . |
määrätietoisuus | Luettelointi | Määrittää tapahtuman määrittämisen. Kunkin luokituksen mahdolliset määritysarvot ovat seuraavat: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Malware (Haittaohjelma), Phishing (Tietojenkalastelu), Unwanted software (Ei-toivottuOhjelmisto) ja Other (Muu). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti ja Other (Muu). Not malicious (Puhdas) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Not enough data to validate (InsufficientData) ja Other (Muu). |
Tunnisteet | merkkijonoluettelo | Tapahtumatunnisteiden luettelo (vain mukautetut tunnisteet). |
Kommentit | Tapauskommenttien luettelo | Incident Comment -objekti sisältää: kommenttimerkkijonon, createdBy-merkkijonon ja createTime-päivämäärän ajan. |
Ilmoitukset | ilmoitusluettelo | Liittyvien ilmoitusten luettelo. Katso esimerkkejä luettelotapausten ohjelmointirajapintadokumentaatiosta. |
Huomautus
Noin 29. elokuuta 2022 aiemmin tuetut hälytysten määritysarvot (Apt
ja SecurityPersonnel
) ovat vanhentuneet, eivätkä ne ole enää käytettävissä ohjelmointirajapinnan kautta.
Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn
Microsoft Defenderin XDR-ohjelmointirajapintoja yleiskatsaus
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.