Share via

Microsoft Defender XDR olayları API'si ve olaylar kaynak türü

  • Makale

Şunlar için geçerlidir:

Not

MS Graph güvenlik API'lerini kullanarak yeni API'lerimizi deneyin. Daha fazla bilgi için bkz. Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn.

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Olay, bir saldırıyı açıklamaya yardımcı olan ilgili uyarıların bir koleksiyonudur. Kuruluşunuzdaki farklı varlıklardaki olaylar Microsoft Defender XDR tarafından otomatik olarak toplanır. Kuruluşunuzun olaylarına ve ilgili uyarılarına program aracılığıyla erişmek için olaylar API'sini kullanabilirsiniz.

Kotalar ve kaynak ayırma

Dakikada en fazla 50 veya saatte 1.500 çağrı isteyebilirsiniz. Her yöntemin kendi kotaları da vardır. Yönteme özgü kotalar hakkında daha fazla bilgi için, kullanmak istediğiniz yöntemin ilgili makalesine bakın.

429 HTTP yanıt kodu, gönderilen istek sayısına veya ayrılan çalışma süresine göre bir kotaya ulaştığınızı gösterir. Yanıt gövdesi, ulaştığınız kota sıfırlanana kadar olan süreyi içerir.

İzinler

Olay API'sinin yöntemlerinin her biri için farklı türde izinler gerekir. Gerekli izinler hakkında daha fazla bilgi için ilgili yöntemin makalesine bakın.

Yöntemler

Yöntem Dönüş Türü Açıklama
Olayları listeleyin Olay listesi Olayların listesini alın.
Olayı güncelleştirme Olay Belirli bir olayı güncelleştirin.
Olay alma Olay Tek bir olay alın.

İstek gövdesi, yanıt ve örnekler

İstek oluşturma veya yanıt ayrıştırma hakkında daha fazla ayrıntı ve pratik örnekler için ilgili yöntem makalelerine bakın.

Ortak özellikler

Özellik Tür Açıklama
incidentId Uzun Olay benzersiz kimliği.
redirectIncidentId null atanabilir uzun Geçerli Olayın birleştirildiği Olay Kimliği.
incidentName Dize Olayın adı.
createdTime Datetimeoffset Olayın oluşturulduğu tarih ve saat (UTC olarak).
lastUpdateTime Datetimeoffset Olayın son güncelleştirildiği tarih ve saat (UTC olarak).
Atanan Dize Olayın Sahibi.
Önem Enum Olayın önem derecesi. Olası değerler şunlardır: UnSpecified, Informational, Low, Mediumve High.
Durum Enum Olayın geçerli durumunu belirtir. Olası değerler şunlardır: Active, InProgress, Resolvedve Redirected.
Sınıflandırma Enum Olayın belirtimi. Olası değerler şunlardır: TruePositive, Informational, expected activityve FalsePositive.
Belirlenmesi Enum Olayın belirlenmesini belirtir.

Her sınıflandırma için olası belirleme değerleri şunlardır:

  • Doğru pozitif: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – genel api'de sabit listesi adını uygun şekilde değiştirmeyi göz önünde bulundurun, Malware (Kötü Amaçlı Yazılım), Phishing (Kimlik Avı), Unwanted software (İstenmeyenSoftware) ve Other (Diğer).
  • Bilgilendirici, beklenen etkinlik:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - genel API'deki sabit listesi adını buna göre ve Other (Diğer) değiştirmeyi göz önünde bulundurun.
  • Hatalı pozitif:Not malicious (Temiz) - genel API'deki sabit listesi adını uygun şekilde değiştirmeyi göz önünde bulundurun, Not enough data to validate (InsufficientData) ve Other (Diğer).
    		•
    Etiketler dize listesi Olay etiketlerinin listesi.
    Yorum Olay açıklamalarının listesi Olay Açıklaması nesnesi şunları içerir: açıklama dizesi, createdBy dizesi ve createTime tarih saati.
    Uyarı uyarı listesi İlgili uyarıların listesi. Olayları listeleme API'leri belgelerindeki örneklere bakın.

    Not

    29 Ağustos 2022'de daha önce desteklenen uyarı belirleme değerleri (Apt ve SecurityPersonnel) kullanım dışı bırakılacak ve artık API aracılığıyla kullanılamayacaktır.

    İpucu

    Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.