Rozhraní API pro incidenty microsoft defenderu XDR a typ prostředku incidentů
Platí pro:
Poznámka
Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Incident je kolekce souvisejících výstrah, které pomáhají popsat útok. Události z různých entit ve vaší organizaci se automaticky agregují pomocí XDR v programu Microsoft Defender. Pomocí rozhraní API pro incidenty můžete programově přistupovat k incidentům a souvisejícím výstrahám vaší organizace.
Kvóty a přidělení prostředků
Můžete požádat až o 50 hovorů za minutu nebo 1 500 hovorů za hodinu. Každá metoda má také své vlastní kvóty. Další informace o kvótách specifických pro metodu najdete v příslušném článku pro metodu, kterou chcete použít.
429 Kód odpovědi HTTP označuje, že jste dosáhli kvóty, a to buď podle počtu odeslaných požadavků, nebo podle přidělené doby běhu. Text odpovědi zahrnuje dobu do resetování kvóty, kterou jste dosáhli.
Oprávnění
Rozhraní API incidentů vyžaduje pro každou ze svých metod různé druhy oprávnění. Další informace o požadovaných oprávněních najdete v článku příslušné metody.
Metody
| Metoda | Návratový typ | Popis |
|---|---|---|
| Uvádění incidentů | Seznam incidentů | Získejte seznam incidentů. |
| Aktualizace incidentu | Událost | Aktualizujte konkrétní incident. |
| Získání incidentu | Událost | Získejte jeden incident. |
Text požadavku, odpověď a příklady
Další podrobnosti o tom, jak vytvořit požadavek nebo parsovat odpověď, a praktické příklady najdete v příslušných článcích o metodách.
Společné vlastnosti
| Vlastnost | Typ | Popis |
|---|---|---|
| incidentId | dlouhý | Jedinečné ID incidentu |
| redirectIncidentId | long s možnou hodnotou null | ID incidentu, do které se aktuální incident sloučil. |
| název incidentu | řetězec | Název incidentu. |
| createdTime | DateTimeOffset | Datum a čas vytvoření incidentu (v UTC). |
| lastUpdateTime | DateTimeOffset | Datum a čas (v UTC) byl incident naposledy aktualizován. |
| přiřazeno | řetězec | Vlastník incidentu. |
| závažnost | Výčet | Závažnost incidentu. Možné hodnoty jsou: UnSpecified, Informational, Low, Mediuma High. |
| stav | Výčet | Určuje aktuální stav incidentu. Možné hodnoty jsou: Active, InProgress, Resolveda Redirected. |
| klasifikace | Výčet | Specifikace incidentu. Možné hodnoty jsou: TruePositive, Informational, expected activitya FalsePositive. |
| určení | Výčet | Určuje určení incidentu. Možné hodnoty určení pro každou klasifikaci jsou: Malware pozitivní: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) a Other (Other). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API a Other (Jiné). Not malicious (Čisté) – zvažte odpovídající Not enough data to validate změnu názvu výčtu ve veřejném rozhraní API (InsufficientData) a Other (Other). |
| visačky | seznam řetězců | Seznam značek incidentů (pouze customTags) |
| komentáře | Seznam komentářů k incidentu | Objekt Komentáře incidentu obsahuje řetězec komentáře, řetězec createdBy a createTime date time. |
| Výstrahy | seznam výstrah | Seznam souvisejících výstrah Projděte si příklady v dokumentaci k rozhraní API seznamu incidentů . |
Poznámka
Kolem 29. srpna 2022 budou dříve podporované hodnoty určení výstrah (Apt a SecurityPersonnel) zastaralé a nebudou už dostupné prostřednictvím rozhraní API.
Související články
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.