Lezen in het Engels

Delen via


Microsoft Defender XDR-incidenten-API en het resourcetype incidenten

Van toepassing op:

Notitie

Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Een incident is een verzameling gerelateerde waarschuwingen die helpen bij het beschrijven van een aanval. Gebeurtenissen van verschillende entiteiten in uw organisatie worden automatisch geaggregeerd door Microsoft Defender XDR. U kunt de incidenten-API gebruiken om programmatisch toegang te krijgen tot de incidenten en gerelateerde waarschuwingen van uw organisatie.

Quota en resourcetoewijzing

U kunt maximaal 50 oproepen per minuut of 1500 oproepen per uur aanvragen. Elke methode heeft ook zijn eigen quota. Zie het betreffende artikel voor de methode die u wilt gebruiken voor meer informatie over methodespecifieke quota.

Een 429 HTTP-antwoordcode geeft aan dat u een quotum hebt bereikt, hetzij op basis van het aantal verzonden aanvragen of door de toegewezen uitvoeringsduur. De hoofdtekst van het antwoord bevat de tijd totdat het quotum dat u hebt bereikt opnieuw is ingesteld.

Machtigingen

De incidenten-API vereist verschillende soorten machtigingen voor elk van de methoden. Zie het artikel van de betreffende methode voor meer informatie over vereiste machtigingen.

Methoden

Methode Retourtype Beschrijving
Incidenten weergeven Lijst met incidenten Een lijst met incidenten ophalen.
Incident bijwerken Incident Een specifiek incident bijwerken.
Incident ophalen Incident Eén incident ophalen.

Hoofdtekst, antwoord en voorbeelden van aanvragen

Raadpleeg de artikelen over de betreffende methode voor meer informatie over het samenstellen van een aanvraag of het parseren van een antwoord en voor praktische voorbeelden.

Algemene eigenschappen

Eigenschap Type Beschrijving
incidentId lang Unieke incident-id.
redirectIncidentId nullable long De incident-id waaraan het huidige incident is samengevoegd.
incidentName tekenreeks De naam van het incident.
createdTime DateTimeOffset De datum en tijd (in UTC) waarop het incident is gemaakt.
lastUpdateTime DateTimeOffset De datum en tijd (in UTC) waarop het incident voor het laatst is bijgewerkt.
assignedTo tekenreeks Eigenaar van het incident.
strengheid Opsomming Ernst van het incident. Mogelijke waarden zijn: UnSpecified, InformationalLow, Medium, en High.
status Opsomming Hiermee geeft u de huidige status van het incident op. Mogelijke waarden zijn: Active, InProgress, Resolveden Redirected.
classificatie Opsomming Specificatie van het incident. Mogelijke waarden zijn: TruePositive, Informational, expected activityen FalsePositive.
vastberadenheid Opsomming Hiermee geeft u de bepaling van het incident.

Mogelijke bepalingswaarden voor elke classificatie zijn:

  • Waar positief: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, Malware (Malware), Phishing (Phishing), Unwanted software (OngewensteSoftware) en Other (Overige).
  • Informatieve, verwachte activiteit:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, en Other (Overige).
  • Fout-positief:Not malicious (Schoon) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, Not enough data to validate (InsufficientData) en Other (Overige).
  • Tags tekenreekslijst Lijst met incidenttags (alleen customTags).
    Opmerkingen Lijst met opmerkingen bij incidenten Het object Incident comment bevat: opmerkingsreeks, createdBy-tekenreeks en createTime date time.
    Waarschuwingen lijst met waarschuwingen Lijst met gerelateerde waarschuwingen. Zie Api-documentatie voor incidenten vermelden voor voorbeelden.

    Notitie

    Rond 29 augustus 2022 worden eerder ondersteunde waarschuwingsbepalingswaarden (Apt en SecurityPersonnel) afgeschaft en niet meer beschikbaar via de API.

    Tip

    Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.