Del via


Oppdater hendelses-API

Gjelder for:

Obs!

Prøv våre nye API-er ved hjelp av MS Graph Security API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph | Microsoft Learn. Hvis du vil ha informasjon om API-en for den nye oppdateringshendelsen ved hjelp av MS Graph Security API, kan du se Oppdateringshendelse.

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

API-beskrivelse

Oppdaterer egenskapene for eksisterende hendelse. Egenskaper som kan oppdateres, er: status, determination, classificationassignedTo, tagsog comments.

Kvoter, ressursallokering og andre betingelser

  1. Du kan foreta opptil 50 anrop per minutt eller 1500 anrop per time før du når begrensningsterskelen.
  2. Du kan angi egenskapen bare hvis classification den determination er satt til TruePositive.

Hvis forespørselen er begrenset, returneres en 429 svarkode. Svarteksten angir tidspunktet da du kan begynne å foreta nye anrop.

Tillatelser

Én av følgende tillatelser er nødvendig for å kalle opp denne API-en. Hvis du vil ha mer informasjon, inkludert hvordan du velger tillatelser, kan du se Få tilgang til Microsoft Defender XDR-API-er.

Tillatelsestype Tillatelse Visningsnavn for tillatelse
Program Incident.ReadWrite.All Lese og skrive alle hendelser
Delegert (jobb- eller skolekonto) Incident.ReadWrite Lese og skrive hendelser

Obs!

Når du skaffer et token ved hjelp av brukerlegitimasjon, må brukeren ha tillatelse til å oppdatere hendelsen i portalen.

HTTP-forespørsel

PATCH /api/incidents/{id}

Forespørselshoder

Navn Type: Beskrivelse
Autorisasjon Streng Bærer {token}. Obligatorisk.
Innholdstype Streng program/json. Obligatorisk.

Forespørselstekst

Angi verdiene for feltene som skal oppdateres, i forespørselsteksten. Eksisterende egenskaper som ikke er inkludert i forespørselsteksten, opprettholder verdiene, med mindre de må beregnes på nytt på grunn av endringer i relaterte verdier. For best ytelse bør du utelate eksisterende verdier som ikke ble endret.

Eiendom Type: Beskrivelse
status Opplisting Angir gjeldende status for hendelsen. Mulige verdier er: Active, Resolved, InProgressog Redirected.
assignedTo streng Eier av hendelsen.
klassifisering Opplisting Spesifikasjon av hendelsen. Mulige verdier er: TruePositive (Sann positiv), InformationalExpectedActivity (Informasjon, forventet aktivitet) og FalsePositive (Usann positiv).
bestemmelse Opplisting Angir avgjørelsen av hendelsen.

Mulige fastsettelsesverdier for hver klassifisering er:

  • Sann positiv: MultiStagedAttack (Multi trinnvis angrep), MaliciousUserActivity (Ondsinnet brukeraktivitet), CompromisedAccount (kompromittert konto) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Malware (skadelig programvare), Phishing (Phishing), UnwantedSoftware (Uønsket programvare) og Other (Annet).
  • Informasjon, forventet aktivitet:SecurityTesting (Sikkerhetstest), LineOfBusinessApplication (bransjeprogram), ConfirmedActivity (bekreftet aktivitet) – vurder å endre nummereringsnavnet i offentlig api tilsvarende, og Other (Annet).
  • Falsk positiv:Clean (Ikke ondsinnet) – vurder å endre opplistingsnavnet i offentlig api tilsvarende NoEnoughDataToValidate ( Ikke nok data til å validere) og Other (Annet).
  • Tags strengliste Liste over hendelseskoder.
    kommentar streng Kommentar som skal legges til hendelsen.

    Obs!

    Rundt 29. august 2022 vil tidligere støttede varslingsbestemmelsesverdier («Apt» og «SecurityPersonnel») bli avskrevet og ikke lenger tilgjengelig via API-en.

    Svar

    Hvis vellykket, returnerer 200 OKdenne metoden . Svarteksten inneholder hendelsesenheten med oppdaterte egenskaper. Hvis en hendelse med den angitte IDen ikke ble funnet, returnerer 404 Not Foundmetoden .

    Eksempel

    Eksempel på forespørsel

    Her er et eksempel på forespørselen.

     PATCH https://api.security.microsoft.com/api/incidents/{id}
    

    Eksempel på forespørselsdata

    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "TruePositive",
        "determination": "Malware",
        "tags": ["Yossi's playground", "Don't mess with the Zohan"],
        "comment": "pen testing"
    }
    

    Tips

    Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.