Microsoft Defender XDR-hendelses-API og hendelsesressurstypen
Gjelder for:
Obs!
Prøv våre nye API-er ved hjelp av MS Graph Security API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph | Microsoft Learn.
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
En hendelse er en samling relaterte varsler som bidrar til å beskrive et angrep. Hendelser fra ulike enheter i organisasjonen aggregeres automatisk av Microsoft Defender XDR. Du kan bruke hendelses-API-en til å få programmatisk tilgang til organisasjonens hendelser og relaterte varsler.
Du kan be om opptil 50 anrop per minutt eller 1500 anrop per time. Hver metode har også sine egne kvoter. Hvis du vil ha mer informasjon om metodespesifikke kvoter, kan du se den respektive artikkelen for metoden du vil bruke.
En 429
HTTP-svarkode indikerer at du har nådd en kvote, enten etter antall sendte forespørsler eller av tildelt kjøretid. Svarteksten inkluderer tiden frem til kvoten du har nådd, tilbakestilles.
Hendelses-API-en krever ulike typer tillatelser for hver av metodene. Hvis du vil ha mer informasjon om nødvendige tillatelser, kan du se artikkelen om den respektive metoden.
Metode | Returtype | Beskrivelse |
---|---|---|
Vis hendelser | Hendelsesliste | Få en liste over hendelser. |
Oppdater hendelse | Hendelse | Oppdater en bestemt hendelse. |
Hent hendelse | Hendelse | Få en enkelt hendelse. |
Se de respektive metodeartiklene for mer informasjon om hvordan du konstruerer en forespørsel eller analyserer et svar, og for praktiske eksempler.
Eiendom | Type: | Beskrivelse |
---|---|---|
incidentId | lang | Unik ID for hendelse. |
redirectIncidentId | nullbar lang | Hendelses-ID-en den gjeldende hendelsen ble slått sammen til. |
incidentName | streng | Navnet på hendelsen. |
createdTime | DateTimeOffset | Datoen og klokkeslettet (i UTC) hendelsen ble opprettet. |
lastUpdateTime | DateTimeOffset | Datoen og klokkeslettet (i UTC) hendelsen ble sist oppdatert. |
assignedTo | streng | Eier av hendelsen. |
Alvorlighetsgraden | Opplisting | Alvorsgraden for hendelsen. Mulige verdier er: UnSpecified , Informational , Low , Medium og High . |
status | Opplisting | Angir gjeldende status for hendelsen. Mulige verdier er: Active , InProgress , Resolved og Redirected . |
klassifisering | Opplisting | Spesifikasjon av hendelsen. Mulige verdier er: TruePositive , Informational, expected activity og FalsePositive . |
bestemmelse | Opplisting | Angir avgjørelsen av hendelsen. Mulige fastsettelsesverdier for hver klassifisering er: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) og Other (Annet). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – vurder å endre opplistingsnavnet i offentlig api tilsvarende, og Other (Annet). Not malicious (Ren) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Not enough data to validate (InsufficientData) og Other (Annet). |
Tags | strengliste | Liste over hendelseskoder (bare customTags). |
Kommentarer | Liste over hendelseskommentarer | Hendelseskommentar-objektet inneholder: kommentarstreng, createdBy-streng og createTime-datotidspunkt. |
Varsler | varselliste | Liste over relaterte varsler. Se eksempler på API-dokumentasjon for listehendelser . |
Obs!
Rundt 29. august 2022 vil tidligere støttede verdier for varslingsbestemmelser (Apt
og SecurityPersonnel
) bli avskrevet og ikke lenger tilgjengelig via API-en.
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.