Microsoft Defender XDR インシデント API とインシデント リソースの種類
適用対象:
注意
MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
インシデントは、攻撃の説明に役立つ関連アラートのコレクションです。 組織内のさまざまなエンティティからのイベントは、Microsoft Defender XDR によって自動的に集計されます。 インシデント API を使用して、組織のインシデントと関連するアラートにプログラムでアクセスできます。
1 分あたり最大 50 通話または 1 時間あたり 1,500 回の通話を要求できます。 各メソッドには、独自のクォータもあります。 メソッド固有のクォータの詳細については、使用するメソッドのそれぞれの記事を参照してください。
429
HTTP 応答コードは、送信された要求の数または割り当てられた実行時間によって、クォータに達したことを示します。 応答本文には、到達したクォータがリセットされるまでの時間が含まれます。
incidents API には、そのメソッドごとにさまざまな種類のアクセス許可が必要です。 必要なアクセス許可の詳細については、それぞれのメソッドの記事を参照してください。
メソッド | 戻り値の型 | 説明 |
---|---|---|
インシデントをリストする | インシデント 一覧 | インシデントの一覧を取得します。 |
インシデントを更新する | インシデント | 特定のインシデントを更新します。 |
インシデントを取得する | インシデント | 1 つのインシデントを取得します。 |
要求を作成する方法や応答を解析する方法の詳細と実際の例については、それぞれのメソッド記事を参照してください。
プロパティ | 型 | 説明 |
---|---|---|
incidentId | long | インシデントの一意の ID。 |
redirectIncidentId | null 許容 long | 現在のインシデントがマージされたインシデント ID。 |
incidentName | string | インシデントの名前。 |
createdTime | DateTimeOffset | インシデントが作成された日時 (UTC)。 |
lastUpdateTime | DateTimeOffset | インシデントが最後に更新された日時 (UTC)。 |
assignedTo | string | インシデントの所有者。 |
severity | 列挙 | インシデントの重大度。 使用可能な値は、 UnSpecified 、 Informational 、 Low 、 Medium 、および High です。 |
status | 列挙 | インシデントの現在の状態を指定します。 可能な値は、Active 、InProgress 、Resolved 、および Redirected です。 |
classification | 列挙 | インシデントの仕様。 使用可能な値は、 TruePositive 、 Informational, expected activity 、および FalsePositive です。 |
決定 | 列挙 | インシデントの決定を指定します。 分類ごとに考えられる決定値は次のとおりです。 Multistage attack (MultiStagedAttack)、 Malicious user activity (MaliciousUserActivity)、 Compromised account (CompromisedUser) - パブリック API の列挙型名を適宜、 Malware (マルウェア)、 Phishing (フィッシング)、 Unwanted software (UnwantedSoftware)、 Other (その他) に変更することを検討してください。 Security test (SecurityTesting)、 Line-of-business application (LineOfBusinessApplication)、 Confirmed activity (ConfirmedUserActivity) - それに応じてパブリック API の列挙型名を変更し、 Other (その他) を検討してください。 Not malicious (クリーン) - パブリック API の列挙名を適宜、 Not enough data to validate (InsufficientData)、 Other (その他) に変更することを検討してください。 |
tags | 文字列リスト | インシデント タグの一覧 (customTags のみ)。 |
comments | インシデント コメントの一覧 | Incident Comment オブジェクトには、コメント文字列、createdBy 文字列、createTime 日付時刻が含まれます。 |
アラート | アラート リスト | 関連するアラートの一覧。 インシデントの 一覧表示 API ドキュメントの例を参照してください。 |
注意
2022 年 8 月 29 日頃、以前にサポートされていたアラート判定値 (Apt
と SecurityPersonnel
) は非推奨となり、API を介して使用できなくなります。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。