API d’incidents XDR Microsoft Defender et type de ressource incidents
S’applique à :
Notes
Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.
Important
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Un incident est un ensemble d’alertes associées qui permettent de décrire une attaque. Les événements de différentes entités de votre organisation sont agrégés automatiquement par Microsoft Defender XDR. Vous pouvez utiliser l’API incidents pour accéder par programme aux incidents de votre organisation et aux alertes associées.
Vous pouvez demander jusqu’à 50 appels par minute ou 1 500 appels par heure. Chaque méthode a également ses propres quotas. Pour plus d’informations sur les quotas spécifiques à la méthode, consultez l’article correspondant à la méthode que vous souhaitez utiliser.
Un 429
code de réponse HTTP indique que vous avez atteint un quota, soit par nombre de requêtes envoyées, soit par temps d’exécution alloué. Le corps de la réponse inclut le délai jusqu’à ce que le quota que vous avez atteint soit réinitialisé.
L’API incidents nécessite différents types d’autorisations pour chacune de ses méthodes. Pour plus d’informations sur les autorisations requises, consultez l’article de la méthode correspondante.
Méthode | Type renvoyé | Description |
---|---|---|
Répertorier les incidents | Liste des incidents | Obtenez la liste des incidents. |
Incident de mise à jour | Incident | Mettez à jour un incident spécifique. |
Obtenir l’incident | Incident | Obtenez un seul incident. |
Pour plus d’informations sur la construction d’une requête ou l’analyse d’une réponse, reportez-vous aux articles sur les méthodes respectives et pour obtenir des exemples pratiques.
Propriété | Type | Description |
---|---|---|
incidentId | long | ID unique de l’incident. |
redirectIncidentId | nullable long | ID d’incident dans laquelle l’incident actuel a été fusionné. |
incidentName | string | Nom de l’incident. |
createdTime | DateTimeOffset | Date et heure (UTC) de la création de l’incident. |
lastUpdateTime | DateTimeOffset | Date et heure (utc) de la dernière mise à jour de l’incident. |
assignedTo | chaîne | Propriétaire de l’incident. |
Sévérité | Énum | Gravité de l’incident. Les valeurs possibles sont , UnSpecified Informational , Low , Medium et High . |
status | Énum | Spécifie l’état actuel de l’incident. Les valeurs possibles sont : Active , InProgress , Resolved , et Redirected |
classification | Énum | Spécification de l’incident. Les valeurs possibles sont , TruePositive Informational, expected activity et FalsePositive . |
détermination | Énum | Spécifie la détermination de l’incident. Les valeurs de détermination possibles pour chaque classification sont les suivantes : Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Malware (Programme malveillant), Phishing (Hameçonnage), Unwanted software (UnwantedSoftware) et Other (Autre). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmUserActivity) : envisagez de modifier le nom d’énumération dans l’API publique en conséquence, et Other (Autre). Not malicious (Nettoyer) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Not enough data to validate (InsufficientData) et Other (Autre). |
étiquettes | liste de chaînes | Liste des balises d’incident (customTags uniquement). |
commentaires | Liste des commentaires sur les incidents | L’objet Commentaire d’incident contient : chaîne de commentaire, chaîne createdBy et date-heure createTime. |
alertes | liste d’alertes | Liste des alertes associées. Consultez des exemples dans la documentation de l’API Répertorier les incidents . |
Notes
Vers le 29 août 2022, les valeurs de détermination d’alerte précédemment prises en charge (Apt
et SecurityPersonnel
) seront déconseillées et ne seront plus disponibles via l’API.
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.