API De mise à jour des incidents
S’applique à :
Remarque
Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn. Pour plus d’informations sur la nouvelle API d’incident de mise à jour à l’aide de l’API de sécurité MS Graph, consultez Mettre à jour l’incident.
Importante
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Description de l’API
Met à jour les propriétés d’un incident existant. Les propriétés pouvant être mises à jour sont les suivantes : status, classificationdetermination, assignedTo, tags, et comments.
Quotas, allocation de ressources et autres contraintes
- Vous pouvez effectuer jusqu’à 50 appels par minute ou 1 500 appels par heure avant d’atteindre le seuil de limitation.
- Vous pouvez définir la
determinationpropriété uniquement siclassificationa la valeur TruePositive.
Si votre demande est limitée, elle retourne un 429 code de réponse. Le corps de la réponse indique l’heure à laquelle vous pouvez commencer à passer de nouveaux appels.
Autorisations
L’une des autorisations suivantes est nécessaire pour appeler cette API. Pour en savoir plus, notamment sur le choix des autorisations, consultez Accéder aux API XDR Microsoft Defender.
| Type d’autorisation | Autorisation | Nom complet de l’autorisation |
|---|---|---|
| Application | Incident.ReadWrite.All | Lire et écrire tous les incidents |
| Déléguée (compte professionnel ou scolaire) | Incident.ReadWrite | Lire et écrire des incidents |
Remarque
Lors de l’obtention d’un jeton à l’aide des informations d’identification de l’utilisateur, l’utilisateur doit avoir l’autorisation de mettre à jour l’incident dans le portail.
Requête HTTP
PATCH /api/incidents/{id}
En-têtes de demande
| Nom | Type | Description |
|---|---|---|
| Autorisation | Chaîne | Porteur {token}. Obligatoire. |
| Content-Type | String | application/json. Obligatoire. |
Corps de la demande
Dans le corps de la demande, indiquez les valeurs des champs qui doivent être mis à jour. Les propriétés existantes qui ne sont pas incluses dans le corps de la demande conservent leurs valeurs, sauf si elles doivent être recalculées en raison de modifications apportées aux valeurs associées. Pour de meilleures performances, vous devez omettre les valeurs existantes qui n’ont pas changé.
| Propriété | Type | Description |
|---|---|---|
| status | Énum | Spécifie l’état actuel de l’incident. Les valeurs possibles sont : Active, Resolved, InProgress, et Redirected |
| assignedTo | string | Propriétaire de l’incident. |
| classification | Énum | Spécification de l’incident. Les valeurs possibles sont : TruePositive (Vrai positif), InformationalExpectedActivity (Information, activité attendue) et FalsePositive (Faux positif). |
| détermination | Énum | Spécifie la détermination de l’incident. Les valeurs de détermination possibles pour chaque classification sont les suivantes : MultiStagedAttack (Attaque multiphase), MaliciousUserActivity (Activité utilisateur malveillante), CompromisedAccount (Compte compromis) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, Malware (Programme malveillant), Phishing (Hameçonnage), UnwantedSoftware (Logiciels indésirables) et Other (Autres). SecurityTesting (Test de sécurité), LineOfBusinessApplication (application métier), ConfirmedActivity (Activité confirmée) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, et Other (Autre). Clean (Non malveillant) : envisagez de modifier le nom de l’énumération dans l’API publique en conséquence, NoEnoughDataToValidate (Données insuffisantes pour valider) et Other (Autres). |
| étiquettes | liste de chaînes | Liste des balises d’incident. |
| comment | string | Commentaire à ajouter à l’incident. |
Remarque
Vers le 29 août 2022, les valeurs de détermination des alertes précédemment prises en charge (« Apt » et « SecurityPersonnel ») seront déconseillées et ne seront plus disponibles via l’API.
Réponse
Si elle réussit, cette méthode retourne 200 OK. Le corps de la réponse contient l’entité d’incident avec des propriétés mises à jour. Si un incident avec l’ID spécifié n’a pas été trouvé, la méthode retourne 404 Not Found.
Exemple
Exemple de requête
Voici un exemple de demande.
PATCH https://api.security.microsoft.com/api/incidents/{id}
Exemple de données de requête
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "TruePositive",
"determination": "Malware",
"tags": ["Yossi's playground", "Don't mess with the Zohan"],
"comment": "pen testing"
}
Articles connexes
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour