API инцидентов XDR в Microsoft Defender и тип ресурса инцидентов
Область применения:
Примечание.
Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Инцидент — это набор связанных оповещений, которые помогают описать атаку. События из разных сущностей в вашей организации автоматически агрегируются XDR в Microsoft Defender. API инцидентов можно использовать для программного доступа к инцидентам организации и связанным с ними оповещениям.
Квоты и выделение ресурсов
Вы можете запрашивать до 50 звонков в минуту или 1500 звонков в час. Каждый метод также имеет свои собственные квоты. Дополнительные сведения о квотах для конкретных методов см. в соответствующей статье о методе, который вы хотите использовать.
Код 429 ответа HTTP указывает, что вы достигли квоты по количеству отправленных запросов или выделенному времени выполнения. Текст ответа включает время до сброса достигнутой квоты.
Разрешения
API инцидентов требует различных типов разрешений для каждого из своих методов. Дополнительные сведения о необходимых разрешениях см. в статье соответствующего метода.
Методы
| Метод | Возвращаемый тип | Описание |
|---|---|---|
| Получение списка инцидентов | Список инцидентов | Получение списка инцидентов. |
| Обновление данных об инциденте | Инцидент | Обновите конкретный инцидент. |
| Получение инцидента | Инцидент | Получение одного инцидента. |
Текст запроса, ответ и примеры
Дополнительные сведения о создании запроса или анализе ответа см. в статьях о соответствующих методах, а также практические примеры.
Общие свойства
| Свойство | Тип | Описание |
|---|---|---|
| incidentId | long | Уникальный идентификатор инцидента. |
| redirectIncidentId | Длинный, допускающий значение NULL | Идентификатор инцидента, с который был объединен текущий инцидент. |
| incidentName | string | Имя инцидента. |
| createdTime | DateTimeOffset | Дата и время создания инцидента (в формате UTC). |
| lastUpdateTime | DateTimeOffset | Дата и время последнего обновления инцидента (в формате UTC). |
| assignedTo | string | Владелец инцидента. |
| severity | Перечисление | Серьезность инцидента. Возможные значения: UnSpecified, Informational, Low, Mediumи High. |
| status | Перечисление | Указывает текущее состояние инцидента. Возможные значения: Active, InProgress, Resolved и Redirected. |
| classification | Перечисление | Спецификация инцидента. Возможные значения: TruePositive, Informational, expected activityи FalsePositive. |
| решимость | Перечисление | Указывает определение инцидента. Возможные значения определения для каждой классификации: Multistage attack (MultiStagedAttack), Malicious user activity (MalwareUserActivity), Compromised account (CompromisedUser) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом Malware (Вредоносные программы), Phishing (Фишинг), Unwanted software (UnwantedSoftware) и Other (Прочее). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом и Other (Другое). Not malicious (Чистая) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом ( Not enough data to validate InsufficientData) и Other (Other). |
| tags | список строк | Список тегов инцидентов (только customTags). |
| comments | Список комментариев к инциденту | Объект Incident Comment содержит строку комментария, строку createdBy и время даты createTime. |
| оповещения | Список оповещений | Список связанных оповещений. Примеры см. в документации по API перечисления инцидентов . |
Примечание.
Примерно 29 августа 2022 г. поддерживаемые ранее значения определения оповещений (Apt и SecurityPersonnel) будут устарели и больше не будут доступны через API.
Связанные статьи
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.