Partager via


API De mise à jour des incidents

S’applique à :

Remarque

Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn. Pour plus d’informations sur la nouvelle API d’incident de mise à jour à l’aide de l’API de sécurité MS Graph, consultez Mettre à jour l’incident.

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Description de l’API

Met à jour les propriétés d’un incident existant. Les propriétés pouvant être mises à jour sont les suivantes : status, classificationdetermination, assignedTo, tags, et comments.

Quotas, allocation de ressources et autres contraintes

  1. Vous pouvez effectuer jusqu’à 50 appels par minute ou 1 500 appels par heure avant d’atteindre le seuil de limitation.
  2. Vous pouvez définir la determination propriété uniquement si classification a la valeur TruePositive.

Si votre demande est limitée, elle retourne un 429 code de réponse. Le corps de la réponse indique l’heure à laquelle vous pouvez commencer à passer de nouveaux appels.

Autorisations

L’une des autorisations suivantes est nécessaire pour appeler cette API. Pour en savoir plus, notamment sur le choix des autorisations, consultez Accéder aux API XDR Microsoft Defender.

Type d’autorisation Autorisation Nom complet de l’autorisation
Application Incident.ReadWrite.All Lire et écrire tous les incidents
Déléguée (compte professionnel ou scolaire) Incident.ReadWrite Lire et écrire des incidents

Remarque

Lors de l’obtention d’un jeton à l’aide des informations d’identification de l’utilisateur, l’utilisateur doit avoir l’autorisation de mettre à jour l’incident dans le portail.

Requête HTTP

PATCH /api/incidents/{id}

En-têtes de demande

Nom Type Description
Autorisation Chaîne Porteur {token}. Obligatoire.
Content-Type String application/json. Obligatoire.

Corps de la demande

Dans le corps de la demande, indiquez les valeurs des champs qui doivent être mis à jour. Les propriétés existantes qui ne sont pas incluses dans le corps de la demande conservent leurs valeurs, sauf si elles doivent être recalculées en raison de modifications apportées aux valeurs associées. Pour de meilleures performances, vous devez omettre les valeurs existantes qui n’ont pas changé.

Propriété Type Description
status Énum Spécifie l’état actuel de l’incident. Les valeurs possibles sont : Active, Resolved, InProgress, et Redirected
assignedTo string Propriétaire de l’incident.
classification Énum Spécification de l’incident. Les valeurs possibles sont : TruePositive (Vrai positif), InformationalExpectedActivity (Information, activité attendue) et FalsePositive (Faux positif).
détermination Énum Spécifie la détermination de l’incident.

Les valeurs de détermination possibles pour chaque classification sont les suivantes :

  • Vrai positif : MultiStagedAttack (Attaque multiphase), MaliciousUserActivity (Activité utilisateur malveillante), CompromisedAccount (Compte compromis) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Malware (Programme malveillant), Phishing (Hameçonnage), UnwantedSoftware (Logiciels indésirables) et Other (Autres).
  • Information, activité attendue :SecurityTesting (Test de sécurité), LineOfBusinessApplication (application métier), ConfirmedActivity (Activité confirmée) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, et Other (Autre).
  • Faux positif :Clean (Non malveillant) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, NoEnoughDataToValidate (Données insuffisantes pour valider) et Other (Autres).
  • étiquettes liste de chaînes Liste des balises d’incident.
    comment string Commentaire à ajouter à l’incident.

    Remarque

    Vers le 29 août 2022, les valeurs de détermination des alertes précédemment prises en charge (« Apt » et « SecurityPersonnel ») seront déconseillées et ne seront plus disponibles via l’API.

    Réponse

    Si elle réussit, cette méthode retourne 200 OK. Le corps de la réponse contient l’entité d’incident avec des propriétés mises à jour. Si un incident avec l’ID spécifié n’a pas été trouvé, la méthode retourne 404 Not Found.

    Exemple

    Exemple de requête

    Voici un exemple de demande.

     PATCH https://api.security.microsoft.com/api/incidents/{id}
    

    Exemple de données de requête

    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "TruePositive",
        "determination": "Malware",
        "tags": ["Yossi's playground", "Don't mess with the Zohan"],
        "comment": "pen testing"
    }
    

    Conseil

    Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.