Microsoft Defender XDR olay API'si ve olaylar kaynak türü
Şunlar için geçerlidir:
Not
MS Graph güvenlik API'lerini kullanarak yeni API'lerimizi deneyin. Daha fazla bilgi için bkz. Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn.
Önemli
Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Olay, bir saldırıyı açıklamaya yardımcı olan ilgili uyarıların bir koleksiyonudur. Kuruluşunuzdaki farklı varlıklardaki olaylar Microsoft Defender XDR tarafından otomatik olarak toplanır. Kuruluşunuzun olaylarına ve ilgili uyarılarına program aracılığıyla erişmek için olaylar API'sini kullanabilirsiniz.
Dakikada en fazla 50 veya saatte 1.500 çağrı isteyebilirsiniz. Her yöntemin kendi kotaları da vardır. Yönteme özgü kotalar hakkında daha fazla bilgi için, kullanmak istediğiniz yöntemin ilgili makalesine bakın.
429
HTTP yanıt kodu, gönderilen istek sayısına veya ayrılan çalışma süresine göre bir kotaya ulaştığınızı gösterir. Yanıt gövdesi, ulaştığınız kota sıfırlanana kadar olan süreyi içerir.
Olay API'sinin yöntemlerinin her biri için farklı türde izinler gerekir. Gerekli izinler hakkında daha fazla bilgi için ilgili yöntemin makalesine bakın.
Yöntem | Dönüş Türü | Açıklama |
---|---|---|
Olayları listeleyin | Olay listesi | Olayların listesini alın. |
Olayı güncelleştirme | Olay | Belirli bir olayı güncelleştirin. |
Olay alma | Olay | Tek bir olay alın. |
İstek oluşturma veya yanıt ayrıştırma hakkında daha fazla ayrıntı ve pratik örnekler için ilgili yöntem makalelerine bakın.
Mülk | Tür | Açıklama |
---|---|---|
incidentId | uzun | Olay benzersiz kimliği. |
redirectIncidentId | null atanabilir uzun | Geçerli Olayın birleştirildiği Olay Kimliği. |
incidentName | dize | Olayın adı. |
createdTime | DateTimeOffset | Olayın oluşturulduğu tarih ve saat (UTC olarak). |
lastUpdateTime | DateTimeOffset | Olayın son güncelleştirildiği tarih ve saat (UTC olarak). |
assignedTo | dize | Olayın Sahibi. |
şiddet | Sabit Listesi | Olayın önem derecesi. Olası değerler şunlardır: UnSpecified , Informational , Low , Medium ve High . |
durum | Sabit Listesi | Olayın geçerli durumunu belirtir. Olası değerler şunlardır: Active , InProgress , Resolved ve Redirected . |
sınıflandırma | Sabit Listesi | Olayın belirtimi. Olası değerler şunlardır: TruePositive , Informational, expected activity ve FalsePositive . |
sebat | Sabit Listesi | Olayın belirlenmesini belirtir. Her sınıflandırma için olası belirleme değerleri şunlardır: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – genel api'de sabit listesi adını uygun şekilde değiştirmeyi göz önünde bulundurun, Malware (Kötü Amaçlı Yazılım), Phishing (Kimlik Avı), Unwanted software (İstenmeyenSoftware) ve Other (Diğer). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - genel API'deki sabit listesi adını buna göre ve Other (Diğer) değiştirmeyi göz önünde bulundurun. Not malicious (Temiz) - genel API'deki sabit listesi adını uygun şekilde değiştirmeyi göz önünde bulundurun, Not enough data to validate (InsufficientData) ve Other (Diğer). |
Etiketler | dize listesi | Olay etiketlerinin listesi (yalnızca customTags). |
Yorum | Olay açıklamalarının listesi | Olay Açıklaması nesnesi şunları içerir: açıklama dizesi, createdBy dizesi ve createTime tarih saati. |
Uyarı | uyarı listesi | İlgili uyarıların listesi. Olayları listeleme API'leri belgelerindeki örneklere bakın. |
Not
29 Ağustos 2022'de daha önce desteklenen uyarı belirleme değerleri (Apt
ve SecurityPersonnel
) kullanım dışı bırakılacak ve artık API aracılığıyla kullanılamayacaktır.
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.