Atualizar incidente
Namespace: microsoft.graph.security
Atualize as propriedades de um objeto incidente .
Essa API está disponível nas seguintes implantações nacionais de nuvem.
Serviço global | Governo dos EUA L4 | GOVERNO DOS EUA L5 (DOD) | China operada pela 21Vianet |
---|---|---|---|
✅ | ✅ | ✅ | ❌ |
Permissões
Escolha a permissão ou as permissões marcadas como menos privilegiadas para essa API. Use uma permissão ou permissões privilegiadas mais altas somente se o aplicativo exigir. Para obter detalhes sobre permissões delegadas e de aplicativo, consulte Tipos de permissão. Para saber mais sobre essas permissões, consulte a referência de permissões.
Tipo de permissão | Permissões menos privilegiadas | Permissões privilegiadas mais altas |
---|---|---|
Delegado (conta corporativa ou de estudante) | SecurityIncident.ReadWrite.All | Indisponível. |
Delegado (conta pessoal da Microsoft) | Sem suporte. | Sem suporte. |
Application | SecurityIncident.ReadWrite.All | Indisponível. |
Solicitação HTTP
PATCH /security/incidents/{incidentId}
Cabeçalhos de solicitação
Nome | Descrição |
---|---|
Autorização | {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização. |
Content-Type | application/json. Obrigatório. |
Corpo da solicitação
No corpo da solicitação, forneça apenas os valores das propriedades que devem ser atualizadas. As propriedades existentes que não estão incluídas no corpo da solicitação mantêm seus valores anteriores ou são recalculadas com base em alterações em outros valores de propriedade.
A tabela a seguir especifica as propriedades que podem ser atualizadas.
Propriedade | Tipo | Descrição |
---|---|---|
assignedTo | Cadeia de caracteres | Proprietário do incidente ou nulo se nenhum proprietário for atribuído. Texto editável gratuito. |
classificação | microsoft.graph.security.alertClassification | A especificação do incidente. Os valores possíveis são: unknown , falsePositive , truePositive , informationalExpectedActivity , unknownFutureValue . |
Determinação | microsoft.graph.security.alertDeterminação | Especifica a determinação do incidente. Os valores possíveis são: unknown , apt , malware , securityPersonnel , securityTesting , unwantedSoftware , other , multiStagedAttack , compromisedUser , phishing , maliciousUserActivity , notMalicious , notEnoughDataToValidate , confirmedUserActivity , lineOfBusinessApplication , unknownFutureValue . |
status | microsoft.graph.security.incidentStatus | O status do incidente. Os valores possíveis são: active , resolved , redirected , unknownFutureValue . |
customTags | Coleção de cadeias de caracteres | Matriz de marcas personalizadas associadas a um incidente. |
Resposta
Se for bem-sucedido, esse método retornará um 200 OK
código de resposta e um objeto de incidente atualizado no corpo da resposta.
Exemplos
Solicitação
O exemplo a seguir mostra uma solicitação.
PATCH https://graph.microsoft.com/v1.0/security/incidents/2972395
Content-Type: application/json
{
"classification": "TruePositive",
"determination": "MultiStagedAttack",
"customTags": [
"Demo"
]
}
Resposta
O exemplo a seguir mostra a resposta.
Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.incident",
"id": "2972395",
"incidentWebUrl": "https://security.microsoft.com/incidents/2972395?tid=12f988bf-16f1-11af-11ab-1d7cd011db47",
"redirectIncidentId": null,
"displayName": "Multi-stage incident involving Initial access & Command and control on multiple endpoints reported by multiple sources",
"tenantId": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
"createdDateTime": "2021-08-13T08:43:35.5533333Z",
"lastUpdateDateTime": "2021-09-30T09:35:45.1133333Z",
"assignedTo": "KaiC@contoso.com",
"classification": "TruePositive",
"determination": "MultiStagedAttack",
"status": "Active",
"severity": "Medium",
"customTags": [
"Demo"
],
"comments": [
{
"comment": "Demo incident",
"createdBy": "DavidS@contoso.com",
"createdTime": "2021-09-30T12:07:37.2756993Z"
}
],
"systemTags" : [
"Defender Experts"
],
"description" : "Microsoft observed Raspberry Robin worm activity spreading through infected USB on multiple devices in your environment. From available intel, these infections could be a potential precursor activity to ransomware deployment. ..."
}
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários