영어로 읽기

다음을 통해 공유


Microsoft Defender XDR 인시던트 API 및 인시던트 리소스 종류

적용 대상:

참고

MS Graph 보안 API를 사용하여 새 API를 사용해 보세요. 자세한 정보: Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn.

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

시던 트 는 공격을 설명하는 데 도움이 되는 관련 경고의 컬렉션입니다. 조직의 여러 엔터티의 이벤트는 Microsoft Defender XDR에 의해 자동으로 집계됩니다. 인시던트 API를 사용하여 조직의 인시던트 및 관련 경고에 프로그래밍 방식으로 액세스할 수 있습니다.

할당량 및 리소스 할당

분당 최대 50회 또는 시간당 1,500건의 통화를 요청할 수 있습니다. 각 메서드에는 자체 할당량도 있습니다. 메서드별 할당량에 대한 자세한 내용은 사용하려는 메서드에 대한 해당 문서를 참조하세요.

429 HTTP 응답 코드는 전송된 요청 수 또는 할당된 실행 시간으로 할당량에 도달했음을 나타냅니다. 응답 본문에는 도달한 할당량이 재설정될 때까지의 시간이 포함됩니다.

권한

인시던트 API에는 각 메서드에 대해 다양한 종류의 권한이 필요합니다. 필요한 권한에 대한 자세한 내용은 해당 메서드의 문서를 참조하세요.

메서드

메서드 반환 형식 설명
인시던트 열거 인시던트 목록 인시던트 목록을 가져옵니다.
인시던트 업데이트 인시던트 특정 인시던트 업데이트
인시던트 가져오기 인시던트 단일 인시던트 가져오기

요청 본문, 응답 및 예제

요청을 생성하거나 응답을 구문 분석하는 방법에 대한 자세한 내용과 실제 예제는 해당 메서드 문서를 참조하세요.

공통 속성

속성 유형 설명
incidentId long 인시던트 고유 ID입니다.
redirectIncidentId nullable long 현재 인시던트가 병합된 인시던트 ID입니다.
incidentName 문자열 인시던트 이름입니다.
createdTime DateTimeOffset 인시던트가 만들어진 날짜 및 시간(UTC)입니다.
lastUpdateTime DateTimeOffset 인시던트가 마지막으로 업데이트된 날짜 및 시간(UTC)입니다.
assignedTo 문자열 인시던트 소유자입니다.
심각도 열거형 인시던트의 심각도입니다. 가능한 값은 , , Informational, 및 입니다UnSpecifiedHigh. MediumLow
상태 열거형 인시던트 현재 상태를 지정합니다. 가능한 값은 , , InProgress및 입니다ActiveRedirected. Resolved
분류 열거형 인시던트 사양입니다. 가능한 값은 , Informational, expected activityFalsePositive입니다TruePositive.
결심 열거형 인시던트 결정을 지정합니다.

각 분류에 대해 가능한 결정 값은 다음과 같습니다.

  • True positive: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – 그에 따라 Malware public api에서 열거형 이름을 변경하는 것이 좋습니다. (맬웨어), (피싱), PhishingUnwanted software (UnwantedSoftware) 및 Other (기타).
  • 정보, 예상 활동:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - 그에 따라 퍼블릭 API에서 열거형 이름을 변경하는 것이 좋습니다. 및 Other (기타).
  • 가양성:Not malicious (정리) - 그에 따라 Not enough data to validate public api에서 열거형 이름을 변경하는 것이 좋습니다(InsufficientData) 및 Other (기타).
  • 태그 문자열 목록 인시던트 태그 목록(customTags에만 해당).
    코멘트 인시던트 주석 목록 Incident Comment 개체에는 주석 문자열, createdBy 문자열 및 createTime 날짜 시간이 포함됩니다.
    경고 경고 목록 관련 경고 목록입니다. 인시던트 나열 API 설명서의 예제를 참조하세요.

    참고

    2022년 8월 29일 경에는 이전에 지원되었던 경고 결정 값(AptSecurityPersonnel)이 더 이상 사용되지 않으며 API를 통해 더 이상 사용할 수 없습니다.

    더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.