Microsoft 365 Defender incident-API:et och resurstypen incidenter

Obs!

Vill du uppleva Microsoft 365 Defender? Läs mer om hur du kan utvärdera och pilottesta Microsoft 365 Defender.

Gäller för:

Obs!

Prova våra nya API:er med MS Graph Security API. Läs mer på: Använda Microsoft Graph Security API – Microsoft Graph beta | Microsoft Learn.

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

En incident är en samling relaterade aviseringar som beskriver en attack. Händelser från olika entiteter i din organisation aggregeras automatiskt av Microsoft 365 Defender. Du kan använda incident-API:et för att programmatiskt komma åt organisationens incidenter och relaterade aviseringar.

Kvoter och resursallokering

Du kan begära upp till 50 samtal per minut eller 1 500 samtal per timme. Varje metod har också sina egna kvoter. Mer information om metodspecifika kvoter finns i respektive artikel för den metod som du vill använda.

En 429 HTTP-svarskod anger att du har nått en kvot, antingen efter antal skickade begäranden eller efter tilldelad körningstid. Svarstexten inkluderar tiden tills den kvot som du har nått återställs.

Behörigheter

Incident-API:et kräver olika typer av behörigheter för var och en av dess metoder. Mer information om nödvändiga behörigheter finns i respektive metods artikel.

Metoder

Metod Returtyp Beskrivning
Lista incidenter Incidentlista Hämta en lista över incidenter.
Uppdatera incident Incident Uppdatera en specifik incident.
Hämta incident Incident Hämta en enda incident.

Begärandetext, svar och exempel

Mer information om hur du skapar en begäran eller parsar ett svar finns i respektive metodartiklar och praktiska exempel.

Vanliga egenskaper

Egenskap Typ Beskrivning
incidentId Lång Unikt incident-ID.
redirectIncidentId nullbar lång Incident-ID:t som den aktuella incidenten kopplades till.
incidentName sträng Namnet på incidenten.
createdTime DateTimeOffset Datum och tid (i UTC) som incidenten skapades.
lastUpdateTime DateTimeOffset Datum och tid (i UTC) incidenten uppdaterades senast.
Tilldelat sträng Ägare till incidenten.
Svårighetsgrad Enum Incidentens allvarlighetsgrad. Möjliga värden är: UnSpecified, Informational, Low, Mediumoch High.
Status Enum Anger incidentens aktuella status. Möjliga värden är: Active, InProgress, Resolvedoch Redirected.
Klassificering Enum Specifikation av incidenten. Möjliga värden är: TruePositive, Informational, expected activityoch FalsePositive.
Bestämning Enum Anger fastställandet av incidenten.

Möjliga bestämningsvärden för varje klassificering är:

  • Sann positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) och Other (Other).
  • Informationsaktivitet, förväntad aktivitet:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta och Other (Övrigt).
  • Falsk positiv identifiering:Not malicious (Ren) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Not enough data to validate (InsufficientData) och Other (Övrigt).
  • Taggar stränglista Lista över incidenttaggar.
    Kommentarer Lista över incidentkommentarer Incidentkommentarobjektet innehåller: kommentarssträng, createdBy-sträng och createTime-datumtid.
    Varningar aviseringslista Lista över relaterade aviseringar. Se exempel i dokumentationen för API för listincidenter .

    Obs!

    Runt den 29 augusti 2022 kommer tidigare stödda aviseringsbestämningsvärden ("Apt" och "SecurityPersonnel") att bli inaktuella och inte längre tillgängliga via API:et.