Oppdater hendelses-API
Gjelder for:
Obs!
Prøv våre nye API-er ved hjelp av MS Graph Security API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph | Microsoft Learn. Hvis du vil ha informasjon om API-en for den nye oppdateringshendelsen ved hjelp av MS Graph Security API, kan du se Oppdateringshendelse.
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
API-beskrivelse
Oppdaterer egenskapene for eksisterende hendelse. Egenskaper som kan oppdateres, er: status
, determination
, classification
assignedTo
, tags
og comments
.
Kvoter, ressursallokering og andre betingelser
- Du kan foreta opptil 50 anrop per minutt eller 1500 anrop per time før du når begrensningsterskelen.
- Du kan angi egenskapen bare hvis
classification
dendetermination
er satt til TruePositive.
Hvis forespørselen er begrenset, returneres en 429
svarkode. Svarteksten angir tidspunktet da du kan begynne å foreta nye anrop.
Tillatelser
Én av følgende tillatelser er nødvendig for å kalle opp denne API-en. Hvis du vil ha mer informasjon, inkludert hvordan du velger tillatelser, kan du se Få tilgang til Microsoft Defender XDR-API-er.
Tillatelsestype | Tillatelse | Visningsnavn for tillatelse |
---|---|---|
Program | Incident.ReadWrite.All | Lese og skrive alle hendelser |
Delegert (jobb- eller skolekonto) | Incident.ReadWrite | Lese og skrive hendelser |
Obs!
Når du skaffer et token ved hjelp av brukerlegitimasjon, må brukeren ha tillatelse til å oppdatere hendelsen i portalen.
HTTP-forespørsel
PATCH /api/incidents/{id}
Forespørselshoder
Navn | Type: | Beskrivelse |
---|---|---|
Autorisasjon | Streng | Bærer {token}. Obligatorisk. |
Innholdstype | Streng | program/json. Obligatorisk. |
Forespørselstekst
Angi verdiene for feltene som skal oppdateres, i forespørselsteksten. Eksisterende egenskaper som ikke er inkludert i forespørselsteksten, opprettholder verdiene, med mindre de må beregnes på nytt på grunn av endringer i relaterte verdier. For best ytelse bør du utelate eksisterende verdier som ikke ble endret.
Eiendom | Type: | Beskrivelse |
---|---|---|
status | Opplisting | Angir gjeldende status for hendelsen. Mulige verdier er: Active , Resolved , InProgress og Redirected . |
assignedTo | streng | Eier av hendelsen. |
klassifisering | Opplisting | Spesifikasjon av hendelsen. Mulige verdier er: TruePositive (Sann positiv), InformationalExpectedActivity (Informasjon, forventet aktivitet) og FalsePositive (Usann positiv). |
bestemmelse | Opplisting | Angir avgjørelsen av hendelsen. Mulige fastsettelsesverdier for hver klassifisering er: MultiStagedAttack (Multi trinnvis angrep), MaliciousUserActivity (Ondsinnet brukeraktivitet), CompromisedAccount (kompromittert konto) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Malware (skadelig programvare), Phishing (Phishing), UnwantedSoftware (Uønsket programvare) og Other (Annet). SecurityTesting (Sikkerhetstest), LineOfBusinessApplication (bransjeprogram), ConfirmedActivity (bekreftet aktivitet) – vurder å endre nummereringsnavnet i offentlig api tilsvarende, og Other (Annet). Clean (Ikke ondsinnet) – vurder å endre opplistingsnavnet i offentlig api tilsvarende NoEnoughDataToValidate ( Ikke nok data til å validere) og Other (Annet). |
Tags | strengliste | Liste over hendelseskoder. |
kommentar | streng | Kommentar som skal legges til hendelsen. |
Obs!
Rundt 29. august 2022 vil tidligere støttede varslingsbestemmelsesverdier («Apt» og «SecurityPersonnel») bli avskrevet og ikke lenger tilgjengelig via API-en.
Svar
Hvis vellykket, returnerer 200 OK
denne metoden . Svarteksten inneholder hendelsesenheten med oppdaterte egenskaper. Hvis en hendelse med den angitte IDen ikke ble funnet, returnerer 404 Not Found
metoden .
Eksempel
Eksempel på forespørsel
Her er et eksempel på forespørselen.
PATCH https://api.security.microsoft.com/api/incidents/{id}
Eksempel på forespørselsdata
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "TruePositive",
"determination": "Malware",
"tags": ["Yossi's playground", "Don't mess with the Zohan"],
"comment": "pen testing"
}
Relaterte artikler
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.