Microsoft 365 Defender incidents API és az incidensek erőforrástípusa

Megjegyzés:

Szeretne Microsoft 365 Defender tapasztalni? További információ arról, hogyan értékelheti ki és tesztelheti a Microsoft 365 Defender.

Érintett szolgáltatás:

Megjegyzés:

Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph security API használata – Microsoft Graph bétaverziós | Microsoft Learn.

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Az incidensek kapcsolódó riasztások gyűjteményei, amelyek segítenek leírni a támadásokat. A szervezet különböző entitásaiból származó eseményeket a Microsoft 365 Defender automatikusan összesíti. Az incidensek API-val programozott módon hozzáférhet a szervezet incidenseihez és a kapcsolódó riasztásokhoz.

Kvóták és erőforrás-kiosztás

Percenként legfeljebb 50 hívást vagy óránként 1500 hívást kérhet. Mindegyik módszer saját kvótával is rendelkezik. A metódusspecifikus kvótákról további információt a használni kívánt metódus megfelelő cikkében talál.

A 429 HTTP-válaszkód azt jelzi, hogy elérte a kvótát az elküldött kérések száma vagy a kiosztott futási idő alapján. A válasz törzse tartalmazza az elért kvóta alaphelyzetbe állításáig eltelt időt.

Engedélyek

Az incidensek API-nak különböző típusú engedélyekre van szüksége az egyes metódusokhoz. A szükséges engedélyekkel kapcsolatos további információkért tekintse meg a megfelelő módszerről szóló cikket.

Módszerek

Módszer Visszatérési típus Leírás
Incidensek felsorolása Incidenslista Az incidensek listájának lekérése.
Incidens frissítése Esemény Adott incidens frissítése.
Incidens lekérése Esemény Egyetlen incidenst kaphat.

Kérés törzse, válasza és példák

A megfelelő metódusokkal kapcsolatos cikkekben további részleteket talál a kérések összeállításáról vagy a válaszok elemzéséről, valamint gyakorlati példákat is találhat.

Gyakori tulajdonságok

Tulajdonság Típus Leírás
incidentId Hosszú Incidens egyedi azonosítója.
redirectIncidentId nullable long Annak az incidensnek az azonosítója, a amelybe az aktuális incidenst egyesítették.
incidentName Karakterlánc Az incidens neve.
createdTime DateTimeOffset Az incidens létrehozásának dátuma és időpontja (UTC).
lastUpdateTime DateTimeOffset Az incidens utolsó frissítésének dátuma és időpontja (UTC).
assignedTo Karakterlánc Az incidens tulajdonosa.
Súlyossága Enum Az incidens súlyossága. Lehetséges értékek: UnSpecified, Informational, Low, Mediumés High.
Állapot Enum Az incidens aktuális állapotát adja meg. Lehetséges értékek: Active, InProgress, Resolvedés Redirected.
Osztályozás Enum Az incidens specifikációja. A lehetséges értékek a következők: TruePositive, Informational, expected activityés FalsePositive.
Meghatározása Enum Meghatározza az incidens meghatározását.

Az egyes besorolások lehetséges meghatározási értékei a következők:

  • Valódi pozitív: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – ennek megfelelően módosítsa az enumerálási nevet a nyilvános API-ban ( Malware Malware), (Phishing), PhishingUnwanted software (UnwantedSoftware) és Other (Egyéb).
  • Tájékoztató, várt tevékenység:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – ennek megfelelően módosítsa a számnevet a nyilvános API-ban, és Other (Egyéb).
  • Hamis pozitív:Not malicious (Tiszta) – fontolja meg a nyilvános API enumerálási nevének módosítását ennek megfelelően, Not enough data to validate (InsufficientData) és Other (Egyéb).
  • Címkék sztringlista Incidenscímkék listája.
    Hozzászólások Incidenshez fűzött megjegyzések listája Az incidens-megjegyzés objektum a következőket tartalmazza: megjegyzéssztring, createdBy karakterlánc és createTime dátumidő.
    Figyelmeztetések riasztási lista Kapcsolódó riasztások listája. Tekintse meg a példákat a List incidents API dokumentációjában .

    Megjegyzés:

    2022. augusztus 29-e körül a korábban támogatott riasztásmeghatározó értékek (Apt és SecurityPersonnel) elavultak lesznek, és már nem érhetők el az API-n keresztül.