Microsoft Defender XDR 인시던트 API 및 인시던트 리소스 종류
적용 대상:
참고
MS Graph 보안 API를 사용하여 새 API를 사용해 보세요. 자세한 정보: Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn.
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
인 시던 트 는 공격을 설명하는 데 도움이 되는 관련 경고의 컬렉션입니다. 조직의 여러 엔터티의 이벤트는 Microsoft Defender XDR에 의해 자동으로 집계됩니다. 인시던트 API를 사용하여 조직의 인시던트 및 관련 경고에 프로그래밍 방식으로 액세스할 수 있습니다.
분당 최대 50회 또는 시간당 1,500건의 통화를 요청할 수 있습니다. 각 메서드에는 자체 할당량도 있습니다. 메서드별 할당량에 대한 자세한 내용은 사용하려는 메서드에 대한 해당 문서를 참조하세요.
429
HTTP 응답 코드는 전송된 요청 수 또는 할당된 실행 시간으로 할당량에 도달했음을 나타냅니다. 응답 본문에는 도달한 할당량이 재설정될 때까지의 시간이 포함됩니다.
인시던트 API에는 각 메서드에 대해 다양한 종류의 권한이 필요합니다. 필요한 권한에 대한 자세한 내용은 해당 메서드의 문서를 참조하세요.
메서드 | 반환 형식 | 설명 |
---|---|---|
인시던트 열거 | 인시던트 목록 | 인시던트 목록을 가져옵니다. |
인시던트 업데이트 | 인시던트 | 특정 인시던트 업데이트 |
인시던트 가져오기 | 인시던트 | 단일 인시던트 가져오기 |
요청을 생성하거나 응답을 구문 분석하는 방법에 대한 자세한 내용과 실제 예제는 해당 메서드 문서를 참조하세요.
속성 | 유형 | 설명 |
---|---|---|
incidentId | long | 인시던트 고유 ID입니다. |
redirectIncidentId | nullable long | 현재 인시던트가 병합된 인시던트 ID입니다. |
incidentName | 문자열 | 인시던트 이름입니다. |
createdTime | DateTimeOffset | 인시던트가 만들어진 날짜 및 시간(UTC)입니다. |
lastUpdateTime | DateTimeOffset | 인시던트가 마지막으로 업데이트된 날짜 및 시간(UTC)입니다. |
assignedTo | 문자열 | 인시던트 소유자입니다. |
심각도 | 열거형 | 인시던트의 심각도입니다. 가능한 값은 , , Informational , 및 입니다UnSpecified High . Medium Low |
상태 | 열거형 | 인시던트 현재 상태를 지정합니다. 가능한 값은 , , InProgress 및 입니다Active Redirected . Resolved |
분류 | 열거형 | 인시던트 사양입니다. 가능한 값은 , Informational, expected activity 및 FalsePositive 입니다TruePositive . |
결심 | 열거형 | 인시던트 결정을 지정합니다. 각 분류에 대해 가능한 결정 값은 다음과 같습니다. Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – 그에 따라 Malware public api에서 열거형 이름을 변경하는 것이 좋습니다. (맬웨어), (피싱), Phishing Unwanted software (UnwantedSoftware) 및 Other (기타). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - 그에 따라 퍼블릭 API에서 열거형 이름을 변경하는 것이 좋습니다. 및 Other (기타). Not malicious (정리) - 그에 따라 Not enough data to validate public api에서 열거형 이름을 변경하는 것이 좋습니다(InsufficientData) 및 Other (기타). |
태그 | 문자열 목록 | 인시던트 태그 목록(customTags에만 해당). |
코멘트 | 인시던트 주석 목록 | Incident Comment 개체에는 주석 문자열, createdBy 문자열 및 createTime 날짜 시간이 포함됩니다. |
경고 | 경고 목록 | 관련 경고 목록입니다. 인시던트 나열 API 설명서의 예제를 참조하세요. |
참고
2022년 8월 29일 경에는 이전에 지원되었던 경고 결정 값(Apt
및 SecurityPersonnel
)이 더 이상 사용되지 않으며 API를 통해 더 이상 사용할 수 없습니다.
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.