Microsoft 365 Defender incident-API:et och resurstypen incidenter
Obs!
Vill du uppleva Microsoft 365 Defender? Läs mer om hur du kan utvärdera och pilottesta Microsoft 365 Defender.
Gäller för:
Obs!
Prova våra nya API:er med MS Graph Security API. Läs mer på: Använda Microsoft Graph Security API – Microsoft Graph beta | Microsoft Learn.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
En incident är en samling relaterade aviseringar som beskriver en attack. Händelser från olika entiteter i din organisation aggregeras automatiskt av Microsoft 365 Defender. Du kan använda incident-API:et för att programmatiskt komma åt organisationens incidenter och relaterade aviseringar.
Kvoter och resursallokering
Du kan begära upp till 50 samtal per minut eller 1 500 samtal per timme. Varje metod har också sina egna kvoter. Mer information om metodspecifika kvoter finns i respektive artikel för den metod som du vill använda.
En 429 HTTP-svarskod anger att du har nått en kvot, antingen efter antal skickade begäranden eller efter tilldelad körningstid. Svarstexten inkluderar tiden tills den kvot som du har nått återställs.
Behörigheter
Incident-API:et kräver olika typer av behörigheter för var och en av dess metoder. Mer information om nödvändiga behörigheter finns i respektive metods artikel.
Metoder
| Metod | Returtyp | Beskrivning |
|---|---|---|
| Lista incidenter | Incidentlista | Hämta en lista över incidenter. |
| Uppdatera incident | Incident | Uppdatera en specifik incident. |
| Hämta incident | Incident | Hämta en enda incident. |
Begärandetext, svar och exempel
Mer information om hur du skapar en begäran eller parsar ett svar finns i respektive metodartiklar och praktiska exempel.
Vanliga egenskaper
| Egenskap | Typ | Beskrivning |
|---|---|---|
| incidentId | Lång | Unikt incident-ID. |
| redirectIncidentId | nullbar lång | Incident-ID:t som den aktuella incidenten kopplades till. |
| incidentName | sträng | Namnet på incidenten. |
| createdTime | DateTimeOffset | Datum och tid (i UTC) som incidenten skapades. |
| lastUpdateTime | DateTimeOffset | Datum och tid (i UTC) incidenten uppdaterades senast. |
| Tilldelat | sträng | Ägare till incidenten. |
| Svårighetsgrad | Enum | Incidentens allvarlighetsgrad. Möjliga värden är: UnSpecified, Informational, Low, Mediumoch High. |
| Status | Enum | Anger incidentens aktuella status. Möjliga värden är: Active, InProgress, Resolvedoch Redirected. |
| Klassificering | Enum | Specifikation av incidenten. Möjliga värden är: TruePositive, Informational, expected activityoch FalsePositive. |
| Bestämning | Enum | Anger fastställandet av incidenten. Möjliga bestämningsvärden för varje klassificering är: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) och Other (Other). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta och Other (Övrigt). Not malicious (Ren) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Not enough data to validate (InsufficientData) och Other (Övrigt). |
| Taggar | stränglista | Lista över incidenttaggar. |
| Kommentarer | Lista över incidentkommentarer | Incidentkommentarobjektet innehåller: kommentarssträng, createdBy-sträng och createTime-datumtid. |
| Varningar | aviseringslista | Lista över relaterade aviseringar. Se exempel i dokumentationen för API för listincidenter . |
Obs!
Runt den 29 augusti 2022 kommer tidigare stödda aviseringsbestämningsvärden ("Apt" och "SecurityPersonnel") att bli inaktuella och inte längre tillgängliga via API:et.