Interfejs API zdarzeń XDR usługi Microsoft Defender i typ zasobu zdarzeń
Dotyczy:
Uwaga
Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Zdarzenie to zbiór powiązanych alertów, które pomagają opisać atak. Zdarzenia z różnych jednostek w organizacji są agregowane automatycznie przez usługę Microsoft Defender XDR. Interfejs API zdarzeń umożliwia programowe uzyskiwanie dostępu do zdarzeń i powiązanych alertów organizacji.
Przydziały i alokacja zasobów
Możesz zażądać maksymalnie 50 wywołań na minutę lub 1500 połączeń na godzinę. Każda metoda ma również własne limity przydziału. Aby uzyskać więcej informacji na temat limitów przydziału specyficznych dla metody, zobacz odpowiedni artykuł dotyczący metody, która ma być używana.
Kod 429 odpowiedzi HTTP wskazuje, że osiągnięto limit przydziału, liczbę wysłanych żądań lub przydzielony czas wykonywania. Treść odpowiedzi zawiera czas resetowania osiągniętego limitu przydziału.
Uprawnienia
Interfejs API zdarzeń wymaga różnych rodzajów uprawnień dla każdej z jego metod. Aby uzyskać więcej informacji na temat wymaganych uprawnień, zobacz artykuł odpowiednich metod.
Metody
| Metoda | Typ zwracany | Opis |
|---|---|---|
| Lista zdarzeń | Lista zdarzeń | Pobierz listę zdarzeń. |
| Aktualizowanie zdarzenia | Incydent | Zaktualizuj określone zdarzenie. |
| Uzyskiwanie zdarzenia | Incydent | Pobierz pojedyncze zdarzenie. |
Treść żądania, odpowiedź i przykłady
Zapoznaj się z odpowiednimi artykułami dotyczącymi metod, aby uzyskać więcej informacji na temat sposobu konstruowania żądania lub analizowania odpowiedzi oraz praktycznych przykładów.
Typowe właściwości
| Własność | Wpisać | Opis |
|---|---|---|
| incidentId | długi | Unikatowy identyfikator zdarzenia. |
| redirectIncidentId | długi z możliwością wartości null | Identyfikator zdarzenia, z który został scalony bieżący incydent. |
| incidentName | ciąg | Nazwa zdarzenia. |
| createdTime | DateTimeOffset | Data i godzina (w utc) zdarzenia został utworzony. |
| lastUpdateTime | DateTimeOffset | Data i godzina (w utc) zdarzenie zostało ostatnio zaktualizowane. |
| assignedTo | ciąg | Właściciel zdarzenia. |
| dotkliwość | Wyliczenie | Ważność zdarzenia. Możliwe wartości to: UnSpecified, Informational, Low, Medium, i High. |
| stan | Wyliczenie | Określa bieżący stan zdarzenia. Możliwe wartości to: Active, InProgress, Resolved, i Redirected. |
| klasyfikacja | Wyliczenie | Specyfikacja zdarzenia. Możliwe wartości to: TruePositive, Informational, expected activity, i FalsePositive. |
| determinacja | Wyliczenie | Określa określenie zdarzenia. Możliwe wartości określania dla każdej klasyfikacji to: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API( Malware Malware), (Phishing), PhishingUnwanted software (UnwantedSoftware) i Other (Inne). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API i Other (Inne). Not malicious (Czyste) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie Not enough data to validate API (InsufficientData) i Other (Inne). |
| Tagi | lista ciągów | Lista tagów zdarzeń (tylko tagi niestandardowe). |
| Komentarze | Lista komentarzy do incydentów | Obiekt Komentarz do zdarzenia zawiera ciąg komentarza, ciąg createdBy i createTime date time. |
| Alerty | lista alertów | Lista powiązanych alertów. Zobacz przykłady w dokumentacji interfejsu API zdarzeń listy . |
Uwaga
Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów (Apt i SecurityPersonnel) będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.
Artykuły pokrewne
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.