API של מקרי XDR של Microsoft Defender וסוג משאב האירועים
חל על:
הערה
נסה את ממשקי ה- API החדשים שלנו באמצעות API של אבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API לאבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.
חשוב
חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
מקרה הוא אוסף של התראות קשורות שמסייעות בתיאר התקפה. אירועים מישויות שונות בארגון שלך נצברים באופן אוטומטי על-ידי Microsoft Defender XDR. באפשרותך להשתמש ב- API של האירועים כדי לגשת באופן תיכנותי למקרי הארגון שלך ולהתראות קשורות.
באפשרותך לבקש עד 50 שיחות בדקה או 1,500 שיחות בשעה. לכל שיטה יש גם מיכסות משלה. לקבלת מידע נוסף אודות מיכסות ספציפיות לשיטה, עיין במאמר המתאים עבור השיטה שבה ברצונך להשתמש.
קוד 429
תגובת HTTP מציין שהגעת למיכסה, לפי מספר הבקשות שנשלחו, או לפי זמן ריצה שהוקצה. גוף התגובה כולל את הזמן עד לאיפוס המיכסה שהגעת לה.
ה- API של האירועים דורש סוגים שונים של הרשאות עבור כל אחת מהשיטות שלו. לקבלת מידע נוסף אודות ההרשאות הנדרשות, עיין במאמר של השיטה המתאימה.
השיטה | סוג החזרה | תיאור |
---|---|---|
רשימה של אירועים | רשימת אירועים | קבל רשימה של אירועים. |
עדכון אירוע | תקרית | עדכן מקרה ספציפי. |
קבל תקרית | תקרית | קבל מקרה יחיד. |
עיין במאמרי השיטה המתאימים לקבלת פרטים נוספים על אופן בניית בקשה או ניתוח מבנה טקסט של תגובה, ולדוגמאות מעשיות.
מאפיין | סוג | תיאור |
---|---|---|
מזהה אירוע | ארוך | מזהה ייחודי של אירוע. |
redirectIncidentId | ארוך הניתן ל- Null | מזהה האירוע שהתקרית הנוכחית מוזגה לו. |
שם אירוע | מחרוזת | שם האירוע. |
createdTime | DateTimeOffset | התאריך והשעה (ב- UTC) שהתקרית נוצרה. |
lastUpdateTime | DateTimeOffset | התאריך והשעה (ב- UTC) האירוע עודכן לאחרונה. |
מוקצה ל | מחרוזת | הבעלים של האירוע. |
חומרת | ערך ספירה | חומרת האירוע. הערכים האפשריים הם: UnSpecified , Informational , Low , Medium ו- High . |
מצב | ערך ספירה | מציין את המצב הנוכחי של האירוע. הערכים האפשריים הם: Active , InProgress , Resolved , ו- Redirected . |
מיון | ערך ספירה | מפרט המקרה. הערכים האפשריים הם: TruePositive , Informational, expected activity , ו- FalsePositive . |
נחישות | ערך ספירה | מציין את קביעה של המקרה. ערכי קביעה אפשריים עבור כל סיווג הם: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – שקול לשנות את שם הספירה ב- api הציבורי בהתאם, Malware (תוכנות זדוניות), Phishing (דיוג), Unwanted software (UnwantedSoftware) Other וכן (אחר). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - שקול לשנות את שם הספירה ב- api הציבורי בהתאם וכן Other (אחר). Not malicious (נקי) - שקול לשנות את שם הספירה ב- api הציבורי בהתאם, Not enough data to validate (InsufficientData) ו- Other (אחר). |
תגיות | רשימת מחרוזות | רשימה של תגיות אירוע (תגיות מותאמות אישית בלבד). |
הערות | רשימה של הערות מקרה | אובייקט Comment של אירוע מכיל: מחרוזת הערה, createdBy string ו- createTime date time. |
התראות | רשימת התראות | רשימת התראות קשורות. עיין בדוגמאות בתיעוד API של List incidents . |
הערה
סביב 29 באוגוסט 2022, ערכי קביעת ההתראה הנתמכים בעבר (Apt
SecurityPersonnel
ו- ) לא יהיו עוד זמינים דרך ה- API.
טיפ
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.