Partilhar via


API de incidentes XDR do Microsoft Defender e o tipo de recurso incidentes

Aplica-se a:

Nota

Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Um incidente é uma coleção de alertas relacionados que ajudam a descrever um ataque. Os eventos de diferentes entidades na sua organização são agregados automaticamente pelo Microsoft Defender XDR. Pode utilizar a API de incidentes para aceder programaticamente aos incidentes e alertas relacionados da sua organização.

Quotas e alocação de recursos

Pode pedir até 50 chamadas por minuto ou 1500 chamadas por hora. Cada método também tem as suas próprias quotas. Para obter mais informações sobre quotas específicas do método, veja o respetivo artigo para o método que pretende utilizar.

Um 429 código de resposta HTTP indica que atingiu uma quota, quer pelo número de pedidos enviados, quer pelo tempo de execução atribuído. O corpo da resposta inclui a hora até que a quota atingida seja reposta.

Permissões

A API de incidentes requer diferentes tipos de permissões para cada um dos seus métodos. Para obter mais informações sobre as permissões necessárias, veja o artigo do respetivo método.

Métodos

Método Tipo de Devolução Descrição
Listar incidentes Lista de incidentes Obtenha uma lista de incidentes.
Atualizar incidente Incidente Atualizar um incidente específico.
Obter incidente Incidente Obtenha um único incidente.

Corpo do pedido, resposta e exemplos

Veja os respetivos artigos de método para obter mais detalhes sobre como construir um pedido ou analisar uma resposta e para obter exemplos práticos.

Propriedades comuns

Propriedade Tipo Descrição
incidentId Longo ID exclusivo do incidente.
redirectIncidentId Anulável longo O ID do Incidente ao qual o Incidente atual foi intercalado.
incidentName cadeia O nome do Incidente.
createdTime DateTimeOffset A data e hora (em UTC) em que o Incidente foi criado.
lastUpdateTime DateTimeOffset A data e hora (em UTC) em que o Incidente foi atualizado pela última vez.
atribuído A cadeia Proprietário do Incidente.
gravidade Enumeração Gravidade do Incidente. Os valores possíveis são: UnSpecified, , InformationalLow, , Mediume High.
estado Enumeração Especifica o estado atual do incidente. Os valores possíveis são: Active, InProgress, Resolvede Redirected.
classificação Enumeração Especificação do incidente. Os valores possíveis são: TruePositive, Informational, expected activitye FalsePositive.
determinação Enumeração Especifica a determinação do incidente.

Os valores de determinação possíveis para cada classificação são:

  • Verdadeiro positivo: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – considere alterar o nome da enumeração na API pública em conformidade, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Outro).
  • Atividade informativa e esperada:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - considere alterar o nome da enumeração na API pública em conformidade, e Other (Outro).
  • Falso positivo:Not malicious (Limpo) – considere alterar o nome da enumeração na API pública em conformidade, Not enough data to validate (InsufficientData) e Other (Outro).
  • etiquetas lista de cadeias Lista de Etiquetas de incidentes (apenas etiquetas personalizadas).
    comentários Lista de comentários de incidentes O objeto Comentário do Incidente contém: cadeia de comentário, createdBy string e createTime date time.
    alertas lista de alertas Lista de alertas relacionados. Veja exemplos em Listar a documentação da API de incidentes .

    Nota

    Por volta de 29 de agosto de 2022, os valores de determinação de alerta anteriormente suportados (Apt e SecurityPersonnel) serão preteridos e deixarão de estar disponíveis através da API.

    Sugestão

    Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.