Api voor incidenten bijwerken
Van toepassing op:
Opmerking
Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn. Zie Incident bijwerken voor meer informatie over de nieuwe UPDATE-incident-API met behulp van MS Graph-beveiligings-API.
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
API-beschrijving
Hiermee worden de eigenschappen van een bestaand incident bijgewerkt. Bijwerkbare eigenschappen zijn: status, determination, classification, assignedTo, tagsen comments.
Quota, resourcetoewijzing en andere beperkingen
- U kunt maximaal 50 oproepen per minuut of 1500 oproepen per uur uitvoeren voordat u de drempelwaarde voor beperking hebt bereikt.
- U kunt de
determinationeigenschap alleen instellen alsclassificationdeze is ingesteld op TruePositive.
Als uw aanvraag wordt beperkt, retourneert deze een 429 antwoordcode. De hoofdtekst van het antwoord geeft het tijdstip aan waarop u nieuwe aanroepen kunt gaan doen.
Machtigingen
Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Toegang tot de Microsoft Defender XDR API's voor meer informatie, waaronder het kiezen van machtigingen.
| Machtigingstype | Machtiging | Weergavenaam van machtiging |
|---|---|---|
| Toepassing | Incident.ReadWrite.All | Alle incidenten lezen en schrijven |
| Gedelegeerd (werk- of schoolaccount) | Incident.ReadWrite | Incidenten lezen en schrijven |
Opmerking
Bij het verkrijgen van een token met behulp van gebruikersreferenties, moet de gebruiker gemachtigd zijn om het incident in de portal bij te werken.
HTTP-aanvraag
PATCH /api/incidents/{id}
Aanvraagheaders
| Naam | Type | Beschrijving |
|---|---|---|
| Machtiging | Tekenreeks | Bearer {token}. Vereist. |
| Content-Type | Tekenreeks | application/json. Vereist. |
Aanvraagtekst
Geef in de aanvraagtekst de waarden op voor de velden die moeten worden bijgewerkt. Bestaande eigenschappen die niet zijn opgenomen in de aanvraagtekst behouden hun waarden, tenzij ze opnieuw moeten worden berekend vanwege wijzigingen in gerelateerde waarden. Voor de beste prestaties moet u bestaande waarden weglaten die niet zijn gewijzigd.
| Eigenschap | Type | Beschrijving |
|---|---|---|
| status | Opsomming | Hiermee geeft u de huidige status van het incident op. Mogelijke waarden zijn: Active, Resolved, InProgressen Redirected. |
| assignedTo | tekenreeks | Eigenaar van het incident. |
| classificatie | Opsomming | Specificatie van het incident. Mogelijke waarden zijn: TruePositive (Waar positief), InformationalExpectedActivity (Informatieve, verwachte activiteit) en FalsePositive (Fout-positief). |
| vastberadenheid | Opsomming | Hiermee geeft u de bepaling van het incident. Mogelijke bepalingswaarden voor elke classificatie zijn: MultiStagedAttack (Aanval met meerdere fasen), MaliciousUserActivity (Schadelijke gebruikersactiviteit), CompromisedAccount (Gecompromitteerd account) – overweeg de naam van de enum in openbare API dienovereenkomstig te wijzigen, Malware (Malware), Phishing (Phishing), UnwantedSoftware (Ongewenste software) en Other (Overig). SecurityTesting (Beveiligingstest), LineOfBusinessApplication (Line-Of-Business-toepassing), ConfirmedActivity (Bevestigde activiteit) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen en Other (Overig). Clean (Niet schadelijk) - overweeg de naam van de enum in de openbare API dienovereenkomstig te wijzigen ( NoEnoughDataToValidate Niet genoeg gegevens om te valideren) en Other (Overig). |
| Tags | tekenreekslijst | Lijst met incidenttags. |
| commentaar | tekenreeks | Opmerking die moet worden toegevoegd aan het incident. |
Opmerking
Rond 29 augustus 2022 worden eerder ondersteunde waarschuwingsbepalingswaarden ('Apt' en 'SecurityPersonnel') afgeschaft en niet meer beschikbaar via de API.
Antwoord
Als dit lukt, retourneert 200 OKdeze methode . De antwoordtekst bevat de incidententiteit met bijgewerkte eigenschappen. Als er geen incident met de opgegeven id is gevonden, retourneert 404 Not Foundde methode .
Voorbeeld
Voorbeeld van aanvraag
Hier volgt een voorbeeld van de aanvraag.
PATCH https://api.security.microsoft.com/api/incidents/{id}
Voorbeeld van aanvraaggegevens
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "TruePositive",
"determination": "Malware",
"tags": ["Yossi's playground", "Don't mess with the Zohan"],
"comment": "pen testing"
}
Verwante artikelen
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.