Compartilhar via

Atualizar a API de incidentes

  • Artigo

Aplica-se a:

Observação

Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn. Para obter informações sobre a nova API de incidentes de atualização com a API de segurança do MS Graph, veja Atualizar incidente.

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Descrição da API

Atualiza as propriedades do incidente existente. As propriedades atualizáveis são: status, determination, classification, assignedTo, tagse comments.

Quotas, alocação de recursos e outras restrições

  1. Pode fazer até 50 chamadas por minuto ou 1500 chamadas por hora antes de atingir o limiar de limitação.
  2. Só pode definir a determination propriedade se classification estiver definida como TruePositive.

Se o pedido for limitado, devolve um 429 código de resposta. O corpo da resposta indica a hora em que pode começar a fazer novas chamadas.

Permissões

Uma das seguintes permissões é necessária para chamar esta API. Para saber mais, incluindo como escolher permissões, consulte Aceder às APIs XDR do Microsoft Defender.

Tipo de permissão Permissão Nome a apresentar da permissão
Application Incident.ReadWrite.All Ler e escrever todos os incidentes
Delegado (conta corporativa ou de estudante) Incident.ReadWrite Incidentes de leitura e escrita

Observação

Ao obter um token com credenciais de utilizador, o utilizador tem de ter permissão para atualizar o incidente no portal.

Solicitação HTTP

PATCH /api/incidents/{id}

Cabeçalhos de solicitação

Nome Tipo Descrição
Autorização Cadeia de caracteres {token} de portador. Obrigatório.
Content-Type Cadeia de Caracteres application/json. Obrigatório.

Corpo da solicitação

No corpo do pedido, forneça os valores para os campos que devem ser atualizados. As propriedades existentes que não estão incluídas no corpo do pedido mantêm os respetivos valores, a menos que tenham de ser recalculadas devido a alterações a valores relacionados. Para um melhor desempenho, deve omitir valores existentes que não foram alterados.

Propriedade Tipo Descrição
status Enum Especifica o estado atual do incidente. Os valores possíveis são: Active, Resolved, InProgress, e Redirected.
assignedTo cadeia de caracteres Proprietário do incidente.
classificação Enum Especificação do incidente. Os valores possíveis são: TruePositive (Verdadeiro positivo), InformationalExpectedActivity (Informativo, atividade esperada) e FalsePositive (Falso Positivo).
determinação Enum Especifica a determinação do incidente.

Os valores de determinação possíveis para cada classificação são:

  • Verdadeiro positivo: MultiStagedAttack (Ataque multicamada), MaliciousUserActivity (Atividade de utilizador malicioso), CompromisedAccount (Conta comprometida) – considere alterar o nome da enumeração na API pública em conformidade, Malware (Software Maligno), Phishing (Phishing), UnwantedSoftware (Software indesejável) e Other (Outro).
  • Atividade informativa e esperada:SecurityTesting (Teste de segurança), LineOfBusinessApplication (Aplicação de linha de negócio), ConfirmedActivity (Atividade confirmada) – considere alterar o nome da enumeração na API pública em conformidade e Other (Outro).
  • Falso positivo:Clean (Não malicioso) – considere alterar o nome da enumeração na API pública em conformidade ( NoEnoughDataToValidate Não existem dados suficientes para validar) e Other (Outro).
    		•
    tags lista de cadeias Lista de Etiquetas de incidentes.
    comment string Comentário a adicionar ao incidente.

    Observação

    Por volta de 29 de agosto de 2022, os valores de determinação de alertas anteriormente suportados ("Apt" e "Pessoal de Segurança") serão preteridos e deixarão de estar disponíveis através da API.

    Resposta

    Se for bem-sucedido, este método devolve 200 OK. O corpo da resposta contém a entidade do incidente com propriedades atualizadas. Se não for encontrado um incidente com o ID especificado, o método devolve 404 Not Found.

    Exemplo

    Exemplo de solicitação

    Eis um exemplo do pedido.

     PATCH https://api.security.microsoft.com/api/incidents/{id}

    Exemplo de dados de pedido

    {
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "TruePositive",
    "determination": "Malware",
    "tags": ["Yossi's playground", "Don't mess with the Zohan"],
    "comment": "pen testing"
}

    Dica

    Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.