Microsoft Defender XDR hendelses-API og hendelsesressurstypen

  • Artikkel

Gjelder for:

Obs!

Prøv våre nye API-er ved hjelp av MS Graph Security API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph | Microsoft Learn.

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

En hendelse er en samling relaterte varsler som bidrar til å beskrive et angrep. Hendelser fra ulike enheter i organisasjonen aggregeres automatisk av Microsoft Defender XDR. Du kan bruke hendelses-API-en til å få programmatisk tilgang til organisasjonens hendelser og relaterte varsler.

Kvoter og ressursallokering

Du kan be om opptil 50 anrop per minutt eller 1500 anrop per time. Hver metode har også sine egne kvoter. Hvis du vil ha mer informasjon om metodespesifikke kvoter, kan du se den respektive artikkelen for metoden du vil bruke.

En 429 HTTP-svarkode indikerer at du har nådd en kvote, enten etter antall sendte forespørsler eller av tildelt kjøretid. Svarteksten inkluderer tiden frem til kvoten du har nådd, tilbakestilles.

Tillatelser

Hendelses-API-en krever ulike typer tillatelser for hver av metodene. Hvis du vil ha mer informasjon om nødvendige tillatelser, kan du se artikkelen om den respektive metoden.

Metoder

Metode Returtype Beskrivelse
Vis hendelser Hendelsesliste Få en liste over hendelser.
Oppdater hendelse Hendelsen Oppdater en bestemt hendelse.
Hent hendelse Hendelsen Få en enkelt hendelse.

Be om brødtekst, svar og eksempler

Se de respektive metodeartiklene for mer informasjon om hvordan du konstruerer en forespørsel eller analyserer et svar, og for praktiske eksempler.

Vanlige egenskaper

Egenskapen Type: Beskrivelse
incidentId Lang Unik ID for hendelse.
redirectIncidentId nullbar lang Hendelses-ID-en den gjeldende hendelsen ble slått sammen til.
incidentName Streng Navnet på hendelsen.
createdTime DateTimeOffset Datoen og klokkeslettet (i UTC) hendelsen ble opprettet.
lastUpdateTime DateTimeOffset Datoen og klokkeslettet (i UTC) hendelsen ble sist oppdatert.
Tilordnettil Streng Eier av hendelsen.
Alvorlighetsgraden Enum Alvorsgraden for hendelsen. Mulige verdier er: UnSpecified, Informational, Low, Mediumog High.
Status Enum Angir gjeldende status for hendelsen. Mulige verdier er: Active, InProgress, Resolvedog Redirected.
Klassifisering Enum Spesifikasjon av hendelsen. Mulige verdier er: TruePositive, Informational, expected activityog FalsePositive.
Besluttsomhet Enum Angir avgjørelsen av hendelsen.

Mulige fastsettelsesverdier for hver klassifisering er:

  • Sann positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) og Other (Annet).
  • Informasjon, forventet aktivitet:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – vurder å endre opplistingsnavnet i offentlig api tilsvarende, og Other (Annet).
  • Falsk positiv:Not malicious (Ren) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Not enough data to validate (InsufficientData) og Other (Annet).
    		•
    Tags strengliste Liste over hendelseskoder.
    Kommentarer Liste over hendelseskommentarer Hendelseskommentar-objektet inneholder: kommentarstreng, createdBy-streng og createTime-datotidspunkt.
    Varsler varselliste Liste over relaterte varsler. Se eksempler på API-dokumentasjon for listehendelser .

    Obs!

    Rundt 29. august 2022 vil tidligere støttede verdier for varslingsbestemmelser (Apt og SecurityPersonnel) bli avskrevet og ikke lenger tilgjengelig via API-en.

    Tips

    Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.