Interfejs API zdarzeń XDR usługi Microsoft Defender i typ zasobu zdarzeń
Dotyczy:
Uwaga
Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.
Ważne
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Zdarzenie to zbiór powiązanych alertów, które pomagają opisać atak. Zdarzenia z różnych jednostek w organizacji są agregowane automatycznie przez usługę Microsoft Defender XDR. Interfejs API zdarzeń umożliwia programowe uzyskiwanie dostępu do zdarzeń i powiązanych alertów organizacji.
Możesz zażądać maksymalnie 50 wywołań na minutę lub 1500 połączeń na godzinę. Każda metoda ma również własne limity przydziału. Aby uzyskać więcej informacji na temat limitów przydziału specyficznych dla metody, zobacz odpowiedni artykuł dotyczący metody, która ma być używana.
Kod 429
odpowiedzi HTTP wskazuje, że osiągnięto limit przydziału, liczbę wysłanych żądań lub przydzielony czas wykonywania. Treść odpowiedzi zawiera czas resetowania osiągniętego limitu przydziału.
Interfejs API zdarzeń wymaga różnych rodzajów uprawnień dla każdej z jego metod. Aby uzyskać więcej informacji na temat wymaganych uprawnień, zobacz artykuł odpowiednich metod.
Metoda | Typ zwracany | Opis |
---|---|---|
Lista zdarzeń | Lista zdarzeń | Pobierz listę zdarzeń. |
Aktualizowanie zdarzenia | Incydent | Zaktualizuj określone zdarzenie. |
Uzyskiwanie zdarzenia | Incydent | Pobierz pojedyncze zdarzenie. |
Zapoznaj się z odpowiednimi artykułami dotyczącymi metod, aby uzyskać więcej informacji na temat sposobu konstruowania żądania lub analizowania odpowiedzi oraz praktycznych przykładów.
Własność | Wpisać | Opis |
---|---|---|
incidentId | długi | Unikatowy identyfikator zdarzenia. |
redirectIncidentId | długi z możliwością wartości null | Identyfikator zdarzenia, z który został scalony bieżący incydent. |
incidentName | ciąg | Nazwa zdarzenia. |
createdTime | DateTimeOffset | Data i godzina (w utc) zdarzenia został utworzony. |
lastUpdateTime | DateTimeOffset | Data i godzina (w utc) zdarzenie zostało ostatnio zaktualizowane. |
assignedTo | ciąg | Właściciel zdarzenia. |
dotkliwość | Wyliczenie | Ważność zdarzenia. Możliwe wartości to: UnSpecified , Informational , Low , Medium , i High . |
stan | Wyliczenie | Określa bieżący stan zdarzenia. Możliwe wartości to: Active , InProgress , Resolved , i Redirected . |
klasyfikacja | Wyliczenie | Specyfikacja zdarzenia. Możliwe wartości to: TruePositive , Informational, expected activity , i FalsePositive . |
determinacja | Wyliczenie | Określa określenie zdarzenia. Możliwe wartości określania dla każdej klasyfikacji to: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API( Malware Malware), (Phishing), Phishing Unwanted software (UnwantedSoftware) i Other (Inne). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API i Other (Inne). Not malicious (Czyste) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie Not enough data to validate API (InsufficientData) i Other (Inne). |
Tagi | lista ciągów | Lista tagów zdarzeń (tylko tagi niestandardowe). |
Komentarze | Lista komentarzy do incydentów | Obiekt Komentarz do zdarzenia zawiera ciąg komentarza, ciąg createdBy i createTime date time. |
Alerty | lista alertów | Lista powiązanych alertów. Zobacz przykłady w dokumentacji interfejsu API zdarzeń listy . |
Uwaga
Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów (Apt
i SecurityPersonnel
) będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.