Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Interfejs API zdarzeń XDR usługi Microsoft Defender i typ zasobu zdarzeń

Dotyczy:

Uwaga

Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.

Ważne

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Zdarzenie to zbiór powiązanych alertów, które pomagają opisać atak. Zdarzenia z różnych jednostek w organizacji są agregowane automatycznie przez usługę Microsoft Defender XDR. Interfejs API zdarzeń umożliwia programowe uzyskiwanie dostępu do zdarzeń i powiązanych alertów organizacji.

Przydziały i alokacja zasobów

Możesz zażądać maksymalnie 50 wywołań na minutę lub 1500 połączeń na godzinę. Każda metoda ma również własne limity przydziału. Aby uzyskać więcej informacji na temat limitów przydziału specyficznych dla metody, zobacz odpowiedni artykuł dotyczący metody, która ma być używana.

Kod 429 odpowiedzi HTTP wskazuje, że osiągnięto limit przydziału, liczbę wysłanych żądań lub przydzielony czas wykonywania. Treść odpowiedzi zawiera czas resetowania osiągniętego limitu przydziału.

Uprawnienia

Interfejs API zdarzeń wymaga różnych rodzajów uprawnień dla każdej z jego metod. Aby uzyskać więcej informacji na temat wymaganych uprawnień, zobacz artykuł odpowiednich metod.

Metody

Metoda Typ zwracany Opis
Lista zdarzeń Lista zdarzeń Pobierz listę zdarzeń.
Aktualizowanie zdarzenia Incydent Zaktualizuj określone zdarzenie.
Uzyskiwanie zdarzenia Incydent Pobierz pojedyncze zdarzenie.

Treść żądania, odpowiedź i przykłady

Zapoznaj się z odpowiednimi artykułami dotyczącymi metod, aby uzyskać więcej informacji na temat sposobu konstruowania żądania lub analizowania odpowiedzi oraz praktycznych przykładów.

Typowe właściwości

Własność Wpisać Opis
incidentId długi Unikatowy identyfikator zdarzenia.
redirectIncidentId długi z możliwością wartości null Identyfikator zdarzenia, z który został scalony bieżący incydent.
incidentName ciąg Nazwa zdarzenia.
createdTime DateTimeOffset Data i godzina (w utc) zdarzenia został utworzony.
lastUpdateTime DateTimeOffset Data i godzina (w utc) zdarzenie zostało ostatnio zaktualizowane.
assignedTo ciąg Właściciel zdarzenia.
dotkliwość Wyliczenie Ważność zdarzenia. Możliwe wartości to: UnSpecified, Informational, Low, Medium, i High.
stan Wyliczenie Określa bieżący stan zdarzenia. Możliwe wartości to: Active, InProgress, Resolved, i Redirected.
klasyfikacja Wyliczenie Specyfikacja zdarzenia. Możliwe wartości to: TruePositive, Informational, expected activity, i FalsePositive.
determinacja Wyliczenie Określa określenie zdarzenia.

Możliwe wartości określania dla każdej klasyfikacji to:

  • Wynik prawdziwie dodatni: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API( Malware Malware), (Phishing), PhishingUnwanted software (UnwantedSoftware) i Other (Inne).
  • Działanie informacyjne, oczekiwane:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API i Other (Inne).
  • Wynik fałszywie dodatni:Not malicious (Czyste) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie Not enough data to validate API (InsufficientData) i Other (Inne).
  • Tagi lista ciągów Lista tagów zdarzeń (tylko tagi niestandardowe).
    Komentarze Lista komentarzy do incydentów Obiekt Komentarz do zdarzenia zawiera ciąg komentarza, ciąg createdBy i createTime date time.
    Alerty lista alertów Lista powiązanych alertów. Zobacz przykłady w dokumentacji interfejsu API zdarzeń listy .

    Uwaga

    Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów (Apt i SecurityPersonnel) będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.

    Porada

    Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.