Microsoft Defender XDR 事件 API 和事件资源类型
适用于:
备注
使用 MS Graph 安全 API 试用我们的新 API。 有关详细信息,请查看: 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn。
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
事件是相关警报的集合,可帮助描述攻击。 Microsoft Defender XDR 自动聚合组织中不同实体的事件。 可以使用事件 API 以编程方式访问组织的事件和相关警报。
每分钟最多可以请求 50 个呼叫或每小时 1,500 个呼叫。 每个方法也有其自己的配额。 有关特定于方法的配额的详细信息,请参阅要使用的方法的相应文章。
429
HTTP 响应代码指示已按发送的请求数或分配的运行时间达到配额。 响应正文包括重置所达到配额之前的时间。
事件 API 需要对其每个方法具有不同类型的权限。 有关所需权限的详细信息,请参阅相应方法的文章。
有关如何构造请求或分析响应的更多详细信息,请参阅相应的方法文章,以及实际示例。
属性 | 类型 | 说明 |
---|---|---|
incidentId | long | 事件唯一 ID。 |
redirectIncidentId | 可以为 null 的 long | 当前事件合并到的事件 ID。 |
incidentName | string | 事件的名称。 |
createdTime | DateTimeOffset | 创建事件) UTC 格式 (日期和时间。 |
lastUpdateTime | DateTimeOffset | 上次更新事件) UTC (日期和时间。 |
assignedTo | string | 事件的所有者。 |
severity | 枚举 | 事件的严重性。 可能的值为:UnSpecified 、、Informational 、Low Medium 、 和 High 。 |
status | 枚举 | 指定事件的当前状态。 可能的值为: Active 、 InProgress 、 Resolved 和 Redirected 。 |
classification | 枚举 | 事件的规范。 可能的值为: TruePositive 、 Informational, expected activity 和 FalsePositive 。 |
测定 | 枚举 | 指定事件的确定。 每个分类的可能确定值为: Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 考虑相应地更改公共 api 中的枚举名称、 Malware (恶意软件) 、 Phishing (钓鱼) 、 Unwanted software (不需要的Software) 和其他 Other () 。 Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedUserActivity) - 考虑相应地更改公共 api 中的枚举名称,并 Other (其他) 。 Not malicious (清理) - 考虑相应地更改公共 api 中的枚举名称, Not enough data to validate (InsufficientData) ,并 Other (其他) 。 |
tags | 字符串列表 | 仅) (customTags 的事件标记列表。 |
comments | 事件注释列表 | 事件注释对象包含:注释字符串、createdBy 字符串和 createTime 日期时间。 |
警报 | 警报列表 | 相关警报的列表。 请参阅 列出事件 API 文档中的示例。 |
备注
在 2022 年 8 月 29 日左右,以前支持的警报确定值 (Apt
和 SecurityPersonnel
) 将弃用,不再通过 API 提供。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。