英語で読む

次の方法で共有


Microsoft Defender XDR インシデント API とインシデント リソースの種類

適用対象:

注意

MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

インシデントは、攻撃の説明に役立つ関連アラートのコレクションです。 組織内のさまざまなエンティティからのイベントは、Microsoft Defender XDR によって自動的に集計されます。 インシデント API を使用して、組織のインシデントと関連するアラートにプログラムでアクセスできます。

クォータとリソース割り当て

1 分あたり最大 50 通話または 1 時間あたり 1,500 回の通話を要求できます。 各メソッドには、独自のクォータもあります。 メソッド固有のクォータの詳細については、使用するメソッドのそれぞれの記事を参照してください。

429 HTTP 応答コードは、送信された要求の数または割り当てられた実行時間によって、クォータに達したことを示します。 応答本文には、到達したクォータがリセットされるまでの時間が含まれます。

アクセス許可

incidents API には、そのメソッドごとにさまざまな種類のアクセス許可が必要です。 必要なアクセス許可の詳細については、それぞれのメソッドの記事を参照してください。

メソッド

メソッド 戻り値の型 説明
インシデントをリストする インシデント 一覧 インシデントの一覧を取得します。
インシデントを更新する インシデント 特定のインシデントを更新します。
インシデントを取得する インシデント 1 つのインシデントを取得します。

要求本文、応答、および例

要求を作成する方法や応答を解析する方法の詳細と実際の例については、それぞれのメソッド記事を参照してください。

共通プロパティ

プロパティ 説明
incidentId long インシデントの一意の ID。
redirectIncidentId null 許容 long 現在のインシデントがマージされたインシデント ID。
incidentName string インシデントの名前。
createdTime DateTimeOffset インシデントが作成された日時 (UTC)。
lastUpdateTime DateTimeOffset インシデントが最後に更新された日時 (UTC)。
assignedTo string インシデントの所有者。
severity 列挙 インシデントの重大度。 使用可能な値は、 UnSpecifiedInformationalLowMedium、および Highです。
status 列挙 インシデントの現在の状態を指定します。 可能な値は、ActiveInProgressResolved、および Redirected です。
classification 列挙 インシデントの仕様。 使用可能な値は、 TruePositiveInformational, expected activity、および FalsePositiveです。
決定 列挙 インシデントの決定を指定します。

分類ごとに考えられる決定値は次のとおりです。

  • 真正: Multistage attack (MultiStagedAttack)、 Malicious user activity (MaliciousUserActivity)、 Compromised account (CompromisedUser) - パブリック API の列挙型名を適宜、 Malware (マルウェア)、 Phishing (フィッシング)、 Unwanted software (UnwantedSoftware)、 Other (その他) に変更することを検討してください。
  • 情報提供、期待されるアクティビティ:Security test (SecurityTesting)、 Line-of-business application (LineOfBusinessApplication)、 Confirmed activity (ConfirmedUserActivity) - それに応じてパブリック API の列挙型名を変更し、 Other (その他) を検討してください。
  • 誤検知:Not malicious (クリーン) - パブリック API の列挙名を適宜、 Not enough data to validate (InsufficientData)、 Other (その他) に変更することを検討してください。
  • tags 文字列リスト インシデント タグの一覧 (customTags のみ)。
    comments インシデント コメントの一覧 Incident Comment オブジェクトには、コメント文字列、createdBy 文字列、createTime 日付時刻が含まれます。
    アラート アラート リスト 関連するアラートの一覧。 インシデントの 一覧表示 API ドキュメントの例を参照してください。

    注意

    2022 年 8 月 29 日頃、以前にサポートされていたアラート判定値 (AptSecurityPersonnel) は非推奨となり、API を介して使用できなくなります。

    ヒント

    さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。