Microsoft Defender XDR incidensek API és az incidensek erőforrástípusa
Érintett szolgáltatás:
Megjegyzés
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
Az incidensek kapcsolódó riasztások gyűjteményei, amelyek segítenek leírni a támadásokat. A szervezet különböző entitásaiból származó eseményeket a Microsoft Defender XDR automatikusan összesíti. Az incidensek API-val programozott módon hozzáférhet a szervezet incidenseihez és a kapcsolódó riasztásokhoz.
Percenként legfeljebb 50 hívást vagy óránként 1500 hívást kérhet. Mindegyik módszer saját kvótával is rendelkezik. A metódusspecifikus kvótákról további információt a használni kívánt metódus megfelelő cikkében talál.
A 429
HTTP-válaszkód azt jelzi, hogy elérte a kvótát az elküldött kérések száma vagy a kiosztott futási idő alapján. A válasz törzse tartalmazza az elért kvóta alaphelyzetbe állításáig eltelt időt.
Az incidensek API-nak különböző típusú engedélyekre van szüksége az egyes metódusokhoz. A szükséges engedélyekkel kapcsolatos további információkért tekintse meg a megfelelő módszerről szóló cikket.
Módszer | Visszatérési típus | Leírás |
---|---|---|
Incidensek felsorolása | Incidenslista | Az incidensek listájának lekérése. |
Incidens frissítése | Beeső | Adott incidens frissítése. |
Incidens lekérése | Beeső | Egyetlen incidenst kaphat. |
A megfelelő metódusokkal kapcsolatos cikkekben további részleteket talál a kérések összeállításáról vagy a válaszok elemzéséről, valamint gyakorlati példákat is találhat.
Tulajdonság | Típus | Leírás |
---|---|---|
incidentId | hosszú | Incidens egyedi azonosítója. |
redirectIncidentId | nullable long | Annak az incidensnek az azonosítója, a amelybe az aktuális incidenst egyesítették. |
incidentName | sztring | Az incidens neve. |
createdTime | DateTimeOffset | Az incidens létrehozásának dátuma és időpontja (UTC). |
lastUpdateTime | DateTimeOffset | Az incidens utolsó frissítésének dátuma és időpontja (UTC). |
assignedTo | sztring | Az incidens tulajdonosa. |
súlyosság | Enumerálás | Az incidens súlyossága. Lehetséges értékek: UnSpecified , Informational , Low , Medium és High . |
állapot | Enumerálás | Az incidens aktuális állapotát adja meg. Lehetséges értékek: Active , InProgress , Resolved és Redirected . |
osztályozás | Enumerálás | Az incidens specifikációja. A lehetséges értékek a következők: TruePositive , Informational, expected activity és FalsePositive . |
elhatározás | Enumerálás | Meghatározza az incidens meghatározását. Az egyes besorolások lehetséges meghatározási értékei a következők: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – ennek megfelelően módosítsa az enumerálási nevet a nyilvános API-ban ( Malware Malware), (Phishing), Phishing Unwanted software (UnwantedSoftware) és Other (Egyéb). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – ennek megfelelően módosítsa a számnevet a nyilvános API-ban, és Other (Egyéb). Not malicious (Tiszta) – fontolja meg a nyilvános API enumerálási nevének módosítását ennek megfelelően, Not enough data to validate (InsufficientData) és Other (Egyéb). |
Címkék | sztringlista | Incidenscímkék listája (csak customTags). |
megjegyzések | Incidenshez fűzött megjegyzések listája | Az incidens-megjegyzés objektum a következőket tartalmazza: megjegyzéssztring, createdBy karakterlánc és createTime dátumidő. |
Figyelmeztetések | riasztási lista | Kapcsolódó riasztások listája. Tekintse meg a példákat a List incidents API dokumentációjában . |
Megjegyzés
2022. augusztus 29-e körül a korábban támogatott riasztásmeghatározó értékek (Apt
és SecurityPersonnel
) elavultak lesznek, és már nem érhetők el az API-n keresztül.
Tipp.
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.