Microsoft Defender XDR incidents API és az incidensek erőforrástípusa
Érintett szolgáltatás:
Megjegyzés:
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
Az incidensek kapcsolódó riasztások gyűjteményei, amelyek segítenek leírni a támadásokat. A szervezet különböző entitásaiból származó eseményeket a Microsoft Defender XDR automatikusan összesíti. Az incidensek API-val programozott módon hozzáférhet a szervezet incidenseihez és a kapcsolódó riasztásokhoz.
Kvóták és erőforrás-kiosztás
Percenként legfeljebb 50 hívást vagy óránként 1500 hívást kérhet. Mindegyik módszer saját kvótával is rendelkezik. A metódusspecifikus kvótákról további információt a használni kívánt metódus megfelelő cikkében talál.
A 429 HTTP-válaszkód azt jelzi, hogy elérte a kvótát az elküldött kérések száma vagy a kiosztott futási idő alapján. A válasz törzse tartalmazza az elért kvóta alaphelyzetbe állításáig eltelt időt.
Engedélyek
Az incidensek API-nak különböző típusú engedélyekre van szüksége az egyes metódusokhoz. A szükséges engedélyekkel kapcsolatos további információkért tekintse meg a megfelelő módszerről szóló cikket.
Módszerek
| Módszer | Visszatérési típus | Leírás |
|---|---|---|
| Incidensek felsorolása | Incidenslista | Az incidensek listájának lekérése. |
| Incidens frissítése | Esemény | Adott incidens frissítése. |
| Incidens lekérése | Esemény | Egyetlen incidenst kaphat. |
Kérés törzse, válasza és példák
A megfelelő metódusokkal kapcsolatos cikkekben további részleteket talál a kérések összeállításáról vagy a válaszok elemzéséről, valamint gyakorlati példákat is találhat.
Gyakori tulajdonságok
| Tulajdonság | Típus | Leírás |
|---|---|---|
| incidentId | Hosszú | Incidens egyedi azonosítója. |
| redirectIncidentId | nullable long | Annak az incidensnek az azonosítója, a amelybe az aktuális incidenst egyesítették. |
| incidentName | Karakterlánc | Az incidens neve. |
| createdTime | DateTimeOffset | Az incidens létrehozásának dátuma és időpontja (UTC). |
| lastUpdateTime | DateTimeOffset | Az incidens utolsó frissítésének dátuma és időpontja (UTC). |
| assignedTo | Karakterlánc | Az incidens tulajdonosa. |
| Súlyossága | Enum | Az incidens súlyossága. Lehetséges értékek: UnSpecified, Informational, Low, Mediumés High. |
| Állapot | Enum | Az incidens aktuális állapotát adja meg. Lehetséges értékek: Active, InProgress, Resolvedés Redirected. |
| Osztályozás | Enum | Az incidens specifikációja. A lehetséges értékek a következők: TruePositive, Informational, expected activityés FalsePositive. |
| Meghatározása | Enum | Meghatározza az incidens meghatározását. Az egyes besorolások lehetséges meghatározási értékei a következők: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – ennek megfelelően módosítsa az enumerálási nevet a nyilvános API-ban ( Malware Malware), (Phishing), PhishingUnwanted software (UnwantedSoftware) és Other (Egyéb). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – ennek megfelelően módosítsa a számnevet a nyilvános API-ban, és Other (Egyéb). Not malicious (Tiszta) – fontolja meg a nyilvános API enumerálási nevének módosítását ennek megfelelően, Not enough data to validate (InsufficientData) és Other (Egyéb). |
| Címkék | sztringlista | Incidenscímkék listája. |
| Hozzászólások | Incidenshez fűzött megjegyzések listája | Az incidens-megjegyzés objektum a következőket tartalmazza: megjegyzéssztring, createdBy karakterlánc és createTime dátumidő. |
| Figyelmeztetések | riasztási lista | Kapcsolódó riasztások listája. Tekintse meg a példákat a List incidents API dokumentációjában . |
Megjegyzés:
2022. augusztus 29-e körül a korábban támogatott riasztásmeghatározó értékek (Apt és SecurityPersonnel) elavultak lesznek, és már nem érhetők el az API-n keresztül.
Kapcsolódó cikkek
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: