Lire en anglais

Partager via


API d’incidents XDR Microsoft Defender et type de ressource incidents

S’applique à :

Notes

Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.

Important

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Un incident est un ensemble d’alertes associées qui permettent de décrire une attaque. Les événements de différentes entités de votre organisation sont agrégés automatiquement par Microsoft Defender XDR. Vous pouvez utiliser l’API incidents pour accéder par programme aux incidents de votre organisation et aux alertes associées.

Quotas et allocation de ressources

Vous pouvez demander jusqu’à 50 appels par minute ou 1 500 appels par heure. Chaque méthode a également ses propres quotas. Pour plus d’informations sur les quotas spécifiques à la méthode, consultez l’article correspondant à la méthode que vous souhaitez utiliser.

Un 429 code de réponse HTTP indique que vous avez atteint un quota, soit par nombre de requêtes envoyées, soit par temps d’exécution alloué. Le corps de la réponse inclut le délai jusqu’à ce que le quota que vous avez atteint soit réinitialisé.

Autorisations

L’API incidents nécessite différents types d’autorisations pour chacune de ses méthodes. Pour plus d’informations sur les autorisations requises, consultez l’article de la méthode correspondante.

Méthodes

Méthode Type renvoyé Description
Répertorier les incidents Liste des incidents Obtenez la liste des incidents.
Incident de mise à jour Incident Mettez à jour un incident spécifique.
Obtenir l’incident Incident Obtenez un seul incident.

Corps de la demande, réponse et exemples

Pour plus d’informations sur la construction d’une requête ou l’analyse d’une réponse, reportez-vous aux articles sur les méthodes respectives et pour obtenir des exemples pratiques.

Propriétés courantes

Propriété Type Description
incidentId long ID unique de l’incident.
redirectIncidentId nullable long ID d’incident dans laquelle l’incident actuel a été fusionné.
incidentName string Nom de l’incident.
createdTime DateTimeOffset Date et heure (UTC) de la création de l’incident.
lastUpdateTime DateTimeOffset Date et heure (utc) de la dernière mise à jour de l’incident.
assignedTo chaîne Propriétaire de l’incident.
Sévérité Énum Gravité de l’incident. Les valeurs possibles sont , UnSpecifiedInformational, Low, Mediumet High.
status Énum Spécifie l’état actuel de l’incident. Les valeurs possibles sont : Active, InProgress, Resolved, et Redirected
classification Énum Spécification de l’incident. Les valeurs possibles sont , TruePositiveInformational, expected activityet FalsePositive.
détermination Énum Spécifie la détermination de l’incident.

Les valeurs de détermination possibles pour chaque classification sont les suivantes :

  • Vrai positif : Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Malware (Programme malveillant), Phishing (Hameçonnage), Unwanted software (UnwantedSoftware) et Other (Autre).
  • Information, activité attendue :Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmUserActivity) : envisagez de modifier le nom d’énumération dans l’API publique en conséquence, et Other (Autre).
  • Faux positif :Not malicious (Nettoyer) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Not enough data to validate (InsufficientData) et Other (Autre).
  • étiquettes liste de chaînes Liste des balises d’incident (customTags uniquement).
    commentaires Liste des commentaires sur les incidents L’objet Commentaire d’incident contient : chaîne de commentaire, chaîne createdBy et date-heure createTime.
    alertes liste d’alertes Liste des alertes associées. Consultez des exemples dans la documentation de l’API Répertorier les incidents .

    Notes

    Vers le 29 août 2022, les valeurs de détermination d’alerte précédemment prises en charge (Apt et SecurityPersonnel) seront déconseillées et ne seront plus disponibles via l’API.

    Conseil

    Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.