Atualizar incidente
Espaço de nomes: microsoft.graph.security
Importante
As APIs na versão /beta
no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Atualize as propriedades de um objeto de incidente .
Esta API está disponível nas seguintes implementações de cloud nacionais.
Serviço global | US Government L4 | US Government L5 (DOD) | China operada pela 21Vianet |
---|---|---|---|
✅ | ✅ | ✅ | ❌ |
Permissões
Escolha a permissão ou permissões marcadas como menos privilegiadas para esta API. Utilize uma permissão ou permissões com privilégios mais elevados apenas se a sua aplicação o exigir. Para obter detalhes sobre as permissões delegadas e de aplicação, veja Tipos de permissão. Para saber mais sobre estas permissões, veja a referência de permissões.
Tipo de permissão | Permissões com menos privilégios | Permissões com privilégios superiores |
---|---|---|
Delegado (conta corporativa ou de estudante) | SecurityIncident.ReadWrite.All | Indisponível. |
Delegado (conta pessoal da Microsoft) | Sem suporte. | Sem suporte. |
Application | SecurityIncident.ReadWrite.All | Indisponível. |
Solicitação HTTP
PATCH /security/incidents/{incidentId}
Cabeçalhos de solicitação
Nome | Descrição |
---|---|
Autorização | {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização. |
Content-Type | application/json. Obrigatório. |
Corpo da solicitação
No corpo da solicitação, forneça apenas os valores das propriedades que devem ser atualizadas. As propriedades existentes que não estão incluídas no corpo do pedido mantêm os valores anteriores ou são recalculadas com base em alterações a outros valores de propriedade.
A tabela a seguir especifica as propriedades que podem ser atualizadas.
Propriedade | Tipo | Descrição |
---|---|---|
assignedTo | Cadeia de caracteres | Proprietário do incidente ou nulo se não for atribuído nenhum proprietário. Texto editável gratuito. |
classificação | microsoft.graph.security.alertClassification | A especificação do incidente. Os valores possíveis são: unknown , falsePositive , truePositive , informationalExpectedActivity , unknownFutureValue . |
customTags | Coleção de cadeias de caracteres | Matriz de etiquetas personalizadas associadas a um incidente. |
determinação | microsoft.graph.security.alertDetermination | Especifica a determinação do incidente. Os valores possíveis são: unknown , apt , malware , securityPersonnel , securityTesting , unwantedSoftware , other , multiStagedAttack , compromisedUser , phishing , maliciousUserActivity , notMalicious , notEnoughDataToValidate , confirmedUserActivity , lineOfBusinessApplication , unknownFutureValue . |
status | microsoft.graph.security.incidentStatus | O estado do incidente. Os valores possíveis são: active , resolved , redirected , unknownFutureValue . |
summary | Cadeia de caracteres | A descrição geral de um ataque. Quando aplicável, o resumo contém detalhes sobre o que ocorreu, os recursos afetados e o tipo de ataque. |
Resposta
Se for bem-sucedido, este método devolve um 200 OK
código de resposta e um objeto de incidente atualizado no corpo da resposta.
Exemplos
Solicitação
O exemplo a seguir mostra uma solicitação.
PATCH https://graph.microsoft.com/beta/security/incidents/2972395
Content-Type: application/json
{
"classification": "TruePositive",
"determination": "MultiStagedAttack",
"customTags": [
"Demo"
]
}
Resposta
O exemplo a seguir mostra a resposta.
Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.incident",
"id": "2972395",
"incidentWebUrl": "https://security.microsoft.com/incidents/2972395?tid=12f988bf-16f1-11af-11ab-1d7cd011db47",
"redirectIncidentId": null,
"displayName": "Multi-stage incident involving Initial access & Command and control on multiple endpoints reported by multiple sources",
"tenantId": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
"createdDateTime": "2021-08-13T08:43:35.5533333Z",
"lastUpdateDateTime": "2021-09-30T09:35:45.1133333Z",
"assignedTo": "KaiC@contoso.com",
"classification": "TruePositive",
"determination": "MultiStagedAttack",
"status": "Active",
"severity": "Medium",
"customTags": [
"Demo"
],
"comments": [
{
"comment": "Demo incident",
"createdBy": "DavidS@contoso.com",
"createdTime": "2021-09-30T12:07:37.2756993Z"
}
],
"systemTags": [
"Defender Experts"
],
"description": "Microsoft observed Raspberry Robin worm activity spreading through infected USB on multiple devices in your environment. From available intel, these infections could be a potential precursor activity to ransomware deployment. ...",
"recommendedActions": "Immediate Recommendations: 1. Block untrusted and unsigned processes that run from USB (ASR Rule) 2. Verify if the ASR rule is turned on for the devices and evaluate whether the ASR . ...",
"recommendedHuntingQueries": [
{
"kqlText": "//Run this query to identify the devices having Raspberry Robin worm alerts AlertInfo | where Timestamp >= datetime(2022-10-20 06:00:52.9644915) | where Title == 'Potential Raspberry Robin worm command' | join AlertEvidence on AlertId | distinct DeviceId"
}
],
"summary": "Defender Experts has identified some malicious activity. This incident has been raised for your awareness and should be investigated as normal."
}
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de