Api för Microsoft Defender XDR-incidenter och resurstypen incidenter
Gäller för:
Anteckning
Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
En incident är en samling relaterade aviseringar som beskriver en attack. Händelser från olika entiteter i din organisation aggregeras automatiskt av Microsoft Defender XDR. Du kan använda incident-API:et för att programmatiskt komma åt organisationens incidenter och relaterade aviseringar.
Du kan begära upp till 50 samtal per minut eller 1 500 samtal per timme. Varje metod har också sina egna kvoter. Mer information om metodspecifika kvoter finns i respektive artikel för den metod som du vill använda.
En 429
HTTP-svarskod anger att du har nått en kvot, antingen efter antal skickade begäranden eller efter tilldelad körningstid. Svarstexten innehåller tiden tills kvoten som du har nått återställs.
Incident-API:et kräver olika typer av behörigheter för var och en av dess metoder. Mer information om nödvändiga behörigheter finns i respektive metods artikel.
Metod | Returtyp | Beskrivning |
---|---|---|
Lista incidenter | Incidentlista | Hämta en lista över incidenter. |
Uppdatera incident | Incident | Uppdatera en specifik incident. |
Hämta incident | Incident | Hämta en enda incident. |
Mer information om hur du skapar en begäran eller parsar ett svar finns i respektive metodartiklar och praktiska exempel.
Egenskap | Typ | Beskrivning |
---|---|---|
incidentId | lång | Unikt incident-ID. |
redirectIncidentId | nullbar lång | Incident-ID:t som den aktuella incidenten kopplades till. |
incidentName | sträng | Namnet på incidenten. |
createdTime | DateTimeOffset | Datum och tid (i UTC) som incidenten skapades. |
lastUpdateTime | DateTimeOffset | Datum och tid (i UTC) incidenten uppdaterades senast. |
assignedTo | sträng | Ägare till incidenten. |
stränghet | Räkna upp | Incidentens allvarlighetsgrad. Möjliga värden är: UnSpecified , Informational , Low , Medium och High . |
status | Räkna upp | Anger incidentens aktuella status. Möjliga värden är: Active , InProgress , Resolved och Redirected . |
klassificering | Räkna upp | Specifikation av incidenten. Möjliga värden är: TruePositive , Informational, expected activity och FalsePositive . |
beslutsamhet | Räkna upp | Anger fastställandet av incidenten. Möjliga bestämningsvärden för varje klassificering är: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) och Other (Other). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta och Other (Övrigt). Not malicious (Ren) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Not enough data to validate (InsufficientData) och Other (Övrigt). |
Taggar | stränglista | Lista över incidenttaggar (endast customTags). |
Kommentarer | Lista över incidentkommentarer | Incidentkommentarobjektet innehåller: kommentarsträng, createdBy-sträng och createTime-datumtid. |
Varningar | aviseringslista | Lista över relaterade aviseringar. Se exempel i dokumentationen för API för listincidenter . |
Anteckning
Runt den 29 augusti 2022 kommer tidigare stödda aviseringsbestämningsvärden (Apt
och SecurityPersonnel
) att vara inaktuella och inte längre tillgängliga via API:et.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.