Microsoft Defender XDR-incidenten-API en het resourcetype incidenten
Van toepassing op:
Notitie
Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
Een incident is een verzameling gerelateerde waarschuwingen die helpen bij het beschrijven van een aanval. Gebeurtenissen van verschillende entiteiten in uw organisatie worden automatisch geaggregeerd door Microsoft Defender XDR. U kunt de incidenten-API gebruiken om programmatisch toegang te krijgen tot de incidenten en gerelateerde waarschuwingen van uw organisatie.
U kunt maximaal 50 oproepen per minuut of 1500 oproepen per uur aanvragen. Elke methode heeft ook zijn eigen quota. Zie het betreffende artikel voor de methode die u wilt gebruiken voor meer informatie over methodespecifieke quota.
Een 429
HTTP-antwoordcode geeft aan dat u een quotum hebt bereikt, hetzij op basis van het aantal verzonden aanvragen of door de toegewezen uitvoeringsduur. De hoofdtekst van het antwoord bevat de tijd totdat het quotum dat u hebt bereikt opnieuw is ingesteld.
De incidenten-API vereist verschillende soorten machtigingen voor elk van de methoden. Zie het artikel van de betreffende methode voor meer informatie over vereiste machtigingen.
Methode | Retourtype | Beschrijving |
---|---|---|
Incidenten weergeven | Lijst met incidenten | Een lijst met incidenten ophalen. |
Incident bijwerken | Incident | Een specifiek incident bijwerken. |
Incident ophalen | Incident | Eén incident ophalen. |
Raadpleeg de artikelen over de betreffende methode voor meer informatie over het samenstellen van een aanvraag of het parseren van een antwoord en voor praktische voorbeelden.
Eigenschap | Type | Beschrijving |
---|---|---|
incidentId | lang | Unieke incident-id. |
redirectIncidentId | nullable long | De incident-id waaraan het huidige incident is samengevoegd. |
incidentName | tekenreeks | De naam van het incident. |
createdTime | DateTimeOffset | De datum en tijd (in UTC) waarop het incident is gemaakt. |
lastUpdateTime | DateTimeOffset | De datum en tijd (in UTC) waarop het incident voor het laatst is bijgewerkt. |
assignedTo | tekenreeks | Eigenaar van het incident. |
strengheid | Opsomming | Ernst van het incident. Mogelijke waarden zijn: UnSpecified , Informational Low , Medium , en High . |
status | Opsomming | Hiermee geeft u de huidige status van het incident op. Mogelijke waarden zijn: Active , InProgress , Resolved en Redirected . |
classificatie | Opsomming | Specificatie van het incident. Mogelijke waarden zijn: TruePositive , Informational, expected activity en FalsePositive . |
vastberadenheid | Opsomming | Hiermee geeft u de bepaling van het incident. Mogelijke bepalingswaarden voor elke classificatie zijn: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, Malware (Malware), Phishing (Phishing), Unwanted software (OngewensteSoftware) en Other (Overige). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, en Other (Overige). Not malicious (Schoon) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, Not enough data to validate (InsufficientData) en Other (Overige). |
Tags | tekenreekslijst | Lijst met incidenttags (alleen customTags). |
Opmerkingen | Lijst met opmerkingen bij incidenten | Het object Incident comment bevat: opmerkingsreeks, createdBy-tekenreeks en createTime date time. |
Waarschuwingen | lijst met waarschuwingen | Lijst met gerelateerde waarschuwingen. Zie Api-documentatie voor incidenten vermelden voor voorbeelden. |
Notitie
Rond 29 augustus 2022 worden eerder ondersteunde waarschuwingsbepalingswaarden (Apt
en SecurityPersonnel
) afgeschaft en niet meer beschikbaar via de API.
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.