Olvasás angol nyelven

Megosztás a következőn keresztül:


Microsoft Defender XDR incidensek API és az incidensek erőforrástípusa

Érintett szolgáltatás:

Megjegyzés

Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Az incidensek kapcsolódó riasztások gyűjteményei, amelyek segítenek leírni a támadásokat. A szervezet különböző entitásaiból származó eseményeket a Microsoft Defender XDR automatikusan összesíti. Az incidensek API-val programozott módon hozzáférhet a szervezet incidenseihez és a kapcsolódó riasztásokhoz.

Kvóták és erőforrás-kiosztás

Percenként legfeljebb 50 hívást vagy óránként 1500 hívást kérhet. Mindegyik módszer saját kvótával is rendelkezik. A metódusspecifikus kvótákról további információt a használni kívánt metódus megfelelő cikkében talál.

A 429 HTTP-válaszkód azt jelzi, hogy elérte a kvótát az elküldött kérések száma vagy a kiosztott futási idő alapján. A válasz törzse tartalmazza az elért kvóta alaphelyzetbe állításáig eltelt időt.

Engedélyek

Az incidensek API-nak különböző típusú engedélyekre van szüksége az egyes metódusokhoz. A szükséges engedélyekkel kapcsolatos további információkért tekintse meg a megfelelő módszerről szóló cikket.

Módszerek

Módszer Visszatérési típus Leírás
Incidensek felsorolása Incidenslista Az incidensek listájának lekérése.
Incidens frissítése Beeső Adott incidens frissítése.
Incidens lekérése Beeső Egyetlen incidenst kaphat.

Kérés törzse, válasza és példák

A megfelelő metódusokkal kapcsolatos cikkekben további részleteket talál a kérések összeállításáról vagy a válaszok elemzéséről, valamint gyakorlati példákat is találhat.

Gyakori tulajdonságok

Tulajdonság Típus Leírás
incidentId hosszú Incidens egyedi azonosítója.
redirectIncidentId nullable long Annak az incidensnek az azonosítója, a amelybe az aktuális incidenst egyesítették.
incidentName sztring Az incidens neve.
createdTime DateTimeOffset Az incidens létrehozásának dátuma és időpontja (UTC).
lastUpdateTime DateTimeOffset Az incidens utolsó frissítésének dátuma és időpontja (UTC).
assignedTo sztring Az incidens tulajdonosa.
súlyosság Enumerálás Az incidens súlyossága. Lehetséges értékek: UnSpecified, Informational, Low, Mediumés High.
állapot Enumerálás Az incidens aktuális állapotát adja meg. Lehetséges értékek: Active, InProgress, Resolvedés Redirected.
osztályozás Enumerálás Az incidens specifikációja. A lehetséges értékek a következők: TruePositive, Informational, expected activityés FalsePositive.
elhatározás Enumerálás Meghatározza az incidens meghatározását.

Az egyes besorolások lehetséges meghatározási értékei a következők:

  • Valódi pozitív: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – ennek megfelelően módosítsa az enumerálási nevet a nyilvános API-ban ( Malware Malware), (Phishing), PhishingUnwanted software (UnwantedSoftware) és Other (Egyéb).
  • Tájékoztató, várt tevékenység:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – ennek megfelelően módosítsa a számnevet a nyilvános API-ban, és Other (Egyéb).
  • Hamis pozitív:Not malicious (Tiszta) – fontolja meg a nyilvános API enumerálási nevének módosítását ennek megfelelően, Not enough data to validate (InsufficientData) és Other (Egyéb).
  • Címkék sztringlista Incidenscímkék listája (csak customTags).
    megjegyzések Incidenshez fűzött megjegyzések listája Az incidens-megjegyzés objektum a következőket tartalmazza: megjegyzéssztring, createdBy karakterlánc és createTime dátumidő.
    Figyelmeztetések riasztási lista Kapcsolódó riasztások listája. Tekintse meg a példákat a List incidents API dokumentációjában .

    Megjegyzés

    2022. augusztus 29-e körül a korábban támogatott riasztásmeghatározó értékek (Apt és SecurityPersonnel) elavultak lesznek, és már nem érhetők el az API-n keresztül.

    Tipp.

    Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.