Läs på engelska

Dela via


Api för Microsoft Defender XDR-incidenter och resurstypen incidenter

Gäller för:

Anteckning

Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

En incident är en samling relaterade aviseringar som beskriver en attack. Händelser från olika entiteter i din organisation aggregeras automatiskt av Microsoft Defender XDR. Du kan använda incident-API:et för att programmatiskt komma åt organisationens incidenter och relaterade aviseringar.

Kvoter och resursallokering

Du kan begära upp till 50 samtal per minut eller 1 500 samtal per timme. Varje metod har också sina egna kvoter. Mer information om metodspecifika kvoter finns i respektive artikel för den metod som du vill använda.

En 429 HTTP-svarskod anger att du har nått en kvot, antingen efter antal skickade begäranden eller efter tilldelad körningstid. Svarstexten innehåller tiden tills kvoten som du har nått återställs.

Behörigheter

Incident-API:et kräver olika typer av behörigheter för var och en av dess metoder. Mer information om nödvändiga behörigheter finns i respektive metods artikel.

Metoder

Metod Returtyp Beskrivning
Lista incidenter Incidentlista Hämta en lista över incidenter.
Uppdatera incident Incident Uppdatera en specifik incident.
Hämta incident Incident Hämta en enda incident.

Begärandetext, svar och exempel

Mer information om hur du skapar en begäran eller parsar ett svar finns i respektive metodartiklar och praktiska exempel.

Vanliga egenskaper

Egenskap Typ Beskrivning
incidentId lång Unikt incident-ID.
redirectIncidentId nullbar lång Incident-ID:t som den aktuella incidenten kopplades till.
incidentName sträng Namnet på incidenten.
createdTime DateTimeOffset Datum och tid (i UTC) som incidenten skapades.
lastUpdateTime DateTimeOffset Datum och tid (i UTC) incidenten uppdaterades senast.
assignedTo sträng Ägare till incidenten.
stränghet Räkna upp Incidentens allvarlighetsgrad. Möjliga värden är: UnSpecified, Informational, Low, Mediumoch High.
status Räkna upp Anger incidentens aktuella status. Möjliga värden är: Active, InProgress, Resolvedoch Redirected.
klassificering Räkna upp Specifikation av incidenten. Möjliga värden är: TruePositive, Informational, expected activityoch FalsePositive.
beslutsamhet Räkna upp Anger fastställandet av incidenten.

Möjliga bestämningsvärden för varje klassificering är:

  • Sann positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) och Other (Other).
  • Informationsaktivitet, förväntad aktivitet:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta och Other (Övrigt).
  • Falsk positiv identifiering:Not malicious (Ren) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Not enough data to validate (InsufficientData) och Other (Övrigt).
  • Taggar stränglista Lista över incidenttaggar (endast customTags).
    Kommentarer Lista över incidentkommentarer Incidentkommentarobjektet innehåller: kommentarsträng, createdBy-sträng och createTime-datumtid.
    Varningar aviseringslista Lista över relaterade aviseringar. Se exempel i dokumentationen för API för listincidenter .

    Anteckning

    Runt den 29 augusti 2022 kommer tidigare stödda aviseringsbestämningsvärden (Apt och SecurityPersonnel) att vara inaktuella och inte längre tillgängliga via API:et.

    Tips

    Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.