Aktualizowanie interfejsu API zdarzeń
Dotyczy:
Uwaga
Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn. Aby uzyskać informacje o nowym interfejsie API zdarzeń aktualizacji przy użyciu interfejsu API zabezpieczeń programu MS Graph, zobacz Update incident (Aktualizowanie zdarzenia).
Ważne
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Aktualizuje właściwości istniejącego zdarzenia. Właściwości możliwe do zaktualizowania to: status
, determination
, classification
, assignedTo
, , tags
i comments
.
- Możesz wykonać maksymalnie 50 wywołań na minutę lub 1500 wywołań na godzinę, zanim osiągniesz próg ograniczania przepustowości.
- Właściwość można ustawić tylko wtedy
determination
, gdyclassification
ustawiono wartość TruePositive.
Jeśli żądanie jest ograniczone, zwraca 429
kod odpowiedzi. Treść odpowiedzi wskazuje czas rozpoczęcia wykonywania nowych wywołań.
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Uzyskiwanie dostępu do interfejsów API XDR usługi Microsoft Defender.
Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
---|---|---|
Aplikacja | Incident.ReadWrite.All | Odczytywanie i zapisywanie wszystkich zdarzeń |
Delegowane (konto służbowe) | Incident.ReadWrite | Odczytywanie i zapisywanie zdarzeń |
Uwaga
Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika użytkownik musi mieć uprawnienia do aktualizowania zdarzenia w portalu.
PATCH /api/incidents/{id}
Name (Nazwa) | Wpisać | Opis |
---|---|---|
Autoryzacja | Ciąg | Element nośny {token}. Wymagane. |
Typ zawartości | Ciąg | application/json. Wymagane. |
W treści żądania podaj wartości pól, które powinny zostać zaktualizowane. Istniejące właściwości, które nie są uwzględnione w treści żądania, zachowują swoje wartości, chyba że muszą zostać ponownie obliczone z powodu zmian powiązanych wartości. Aby uzyskać najlepszą wydajność, należy pominąć istniejące wartości, które nie uległy zmianie.
Własność | Wpisać | Opis |
---|---|---|
stan | Wyliczenie | Określa bieżący stan zdarzenia. Możliwe wartości to: Active , Resolved , InProgress , i Redirected . |
assignedTo | struna | Właściciel zdarzenia. |
klasyfikacja | Wyliczenie | Specyfikacja zdarzenia. Możliwe wartości to: TruePositive (prawdziwie dodatnie), InformationalExpectedActivity (działanie informacyjne, oczekiwane) i FalsePositive (fałszywie dodatnie). |
determinacja | Wyliczenie | Określa określenie zdarzenia. Możliwe wartości określania dla każdej klasyfikacji to: MultiStagedAttack (atak wieloetapowy), MaliciousUserActivity (złośliwe działanie użytkownika), CompromisedAccount (konto z naruszeniem zabezpieczeń) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API ( Malware Złośliwe oprogramowanie), Phishing (wyłudzanie informacji), UnwantedSoftware (Niechciane oprogramowanie) i Other (Inne). SecurityTesting (Test zabezpieczeń), LineOfBusinessApplication (aplikacja biznesowa), ConfirmedActivity (potwierdzone działanie) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API i Other (Inne). Clean (Nie złośliwy) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie NoEnoughDataToValidate API (Za mało danych do zweryfikowania) i Other (Inne). |
Tagi | lista ciągów | Lista tagów zdarzenia. |
komentarz | struna | Komentarz do dodania do zdarzenia. |
Uwaga
Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów ("Apt" i "SecurityPersonnel") będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.
Jeśli to się powiedzie, ta metoda zwróci wartość 200 OK
. Treść odpowiedzi zawiera jednostkę zdarzenia ze zaktualizowanymi właściwościami. Jeśli nie znaleziono zdarzenia o określonym identyfikatorze, metoda zwraca wartość 404 Not Found
.
Oto przykład żądania.
PATCH https://api.security.microsoft.com/api/incidents/{id}
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "TruePositive",
"determination": "Malware",
"tags": ["Yossi's playground", "Don't mess with the Zohan"],
"comment": "pen testing"
}
Uzyskiwanie dostępu do interfejsów API XDR usługi Microsoft Defender
Dowiedz się więcej o limitach interfejsu API i licencjonowaniu
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.