API eventi imprevisti XDR di Microsoft Defender e tipo di risorsa eventi imprevisti
Si applica a:
Nota
Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Un evento imprevisto è una raccolta di avvisi correlati che consentono di descrivere un attacco. Gli eventi di entità diverse nell'organizzazione vengono aggregati automaticamente da Microsoft Defender XDR. È possibile usare l'API eventi imprevisti per accedere a livello di codice agli eventi imprevisti e agli avvisi correlati dell'organizzazione.
Quote e allocazione delle risorse
È possibile richiedere fino a 50 chiamate al minuto o 1.500 chiamate all'ora. Ogni metodo ha anche le proprie quote. Per altre informazioni sulle quote specifiche del metodo, vedere il rispettivo articolo relativo al metodo che si vuole usare.
Un 429 codice di risposta HTTP indica che è stata raggiunta una quota, in base al numero di richieste inviate o al tempo di esecuzione assegnato. Il corpo della risposta include il tempo fino alla reimpostazione della quota raggiunta.
Autorizzazioni
L'API eventi imprevisti richiede diversi tipi di autorizzazioni per ognuno dei relativi metodi. Per altre informazioni sulle autorizzazioni necessarie, vedere l'articolo del rispettivo metodo.
Metodi
| Metodo | Tipo restituito | Descrizione |
|---|---|---|
| Elencare incidenti | Elenco degli eventi imprevisti | Ottenere un elenco di eventi imprevisti. |
| Aggiornare incidente | Incidente | Aggiornare un evento imprevisto specifico. |
| Ottenere un evento imprevisto | Incidente | Ottenere un singolo evento imprevisto. |
Corpo della richiesta, risposta ed esempi
Per altri dettagli su come costruire una richiesta o analizzare una risposta, vedere i rispettivi articoli sul metodo e per esempi pratici.
Proprietà comuni
| Proprietà | Tipo | Descrizione |
|---|---|---|
| incidentId | long | ID univoco evento imprevisto. |
| redirectIncidentId | nullable long | ID evento imprevisto a cui è stato unito l'evento imprevisto corrente. |
| incidentName | stringa | Nome dell'evento imprevisto. |
| createdTime | DateTimeOffset | Data e ora (in formato UTC) in cui è stato creato l'evento imprevisto. |
| lastUpdateTime | DateTimeOffset | Data e ora (in formato UTC) dell'ultimo aggiornamento dell'evento imprevisto. |
| assignedTo | stringa | Proprietario dell'evento imprevisto. |
| severità | Enumerazione | Gravità dell'evento imprevisto. I valori possibili sono: UnSpecified, Informational, Low, Mediume High. |
| stato | Enumerazione | Specifica lo stato corrente dell'evento imprevisto. I valori possibili sono: Active, InProgress, Resolvede Redirected. |
| classificazione | Enumerazione | Specifica dell'evento imprevisto. I valori possibili sono: TruePositive, Informational, expected activitye FalsePositive. |
| determinazione | Enumerazione | Specifica la determinazione dell'evento imprevisto. I possibili valori di determinazione per ogni classificazione sono: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : è consigliabile modificare di conseguenza il nome dell'enumerazione nell'API pubblica ( Malware Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Altro). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - provare a modificare di conseguenza il nome dell'enumerazione nell'API pubblica e Other (Altro). Not malicious (Pulisci): valutare la possibilità di modificare di conseguenza il nome dell'enumerazione nell'API pubblica ( Not enough data to validate InsufficientData) e Other (Altro). |
| tag | elenco di stringhe | Elenco di tag evento imprevisto (solo customTags). |
| Commenti | Elenco dei commenti degli eventi imprevisti | L'oggetto Commento evento imprevisto contiene: stringa di commento, stringa createdBy e data di creazioneTime. |
| Avvisi | elenco di avvisi | Elenco degli avvisi correlati. Vedere gli esempi nella documentazione dell'API Elenca eventi imprevisti . |
Nota
Intorno al 29 agosto 2022, i valori di determinazione degli avvisi supportati in precedenza (Apt e SecurityPersonnel) verranno deprecati e non più disponibili tramite l'API.
Articoli correlati
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.