API eventi imprevisti XDR di Microsoft Defender e tipo di risorsa eventi imprevisti

Si applica a:

Nota

Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Un evento imprevisto è una raccolta di avvisi correlati che consentono di descrivere un attacco. Gli eventi di entità diverse nell'organizzazione vengono aggregati automaticamente da Microsoft Defender XDR. È possibile usare l'API eventi imprevisti per accedere a livello di codice agli eventi imprevisti e agli avvisi correlati dell'organizzazione.

Quote e allocazione delle risorse

È possibile richiedere fino a 50 chiamate al minuto o 1.500 chiamate all'ora. Ogni metodo ha anche le proprie quote. Per altre informazioni sulle quote specifiche del metodo, vedere il rispettivo articolo relativo al metodo che si vuole usare.

Un 429 codice di risposta HTTP indica che è stata raggiunta una quota, in base al numero di richieste inviate o al tempo di esecuzione assegnato. Il corpo della risposta include il tempo fino alla reimpostazione della quota raggiunta.

Autorizzazioni

L'API eventi imprevisti richiede diversi tipi di autorizzazioni per ognuno dei relativi metodi. Per altre informazioni sulle autorizzazioni necessarie, vedere l'articolo del rispettivo metodo.

Metodi

Metodo Tipo restituito Descrizione
Elencare incidenti Elenco degli eventi imprevisti Ottenere un elenco di eventi imprevisti.
Aggiornare incidente Incidente Aggiornare un evento imprevisto specifico.
Ottenere un evento imprevisto Incidente Ottenere un singolo evento imprevisto.

Corpo della richiesta, risposta ed esempi

Per altri dettagli su come costruire una richiesta o analizzare una risposta, vedere i rispettivi articoli sul metodo e per esempi pratici.

Proprietà comuni

Proprietà Tipo Descrizione
incidentId long ID univoco evento imprevisto.
redirectIncidentId nullable long ID evento imprevisto a cui è stato unito l'evento imprevisto corrente.
incidentName stringa Nome dell'evento imprevisto.
createdTime DateTimeOffset Data e ora (in formato UTC) in cui è stato creato l'evento imprevisto.
lastUpdateTime DateTimeOffset Data e ora (in formato UTC) dell'ultimo aggiornamento dell'evento imprevisto.
assignedTo stringa Proprietario dell'evento imprevisto.
severità Enumerazione Gravità dell'evento imprevisto. I valori possibili sono: UnSpecified, Informational, Low, Mediume High.
stato Enumerazione Specifica lo stato corrente dell'evento imprevisto. I valori possibili sono: Active, InProgress, Resolvede Redirected.
classificazione Enumerazione Specifica dell'evento imprevisto. I valori possibili sono: TruePositive, Informational, expected activitye FalsePositive.
determinazione Enumerazione Specifica la determinazione dell'evento imprevisto.

I possibili valori di determinazione per ogni classificazione sono:

  • Vero positivo: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : è consigliabile modificare di conseguenza il nome dell'enumerazione nell'API pubblica ( Malware Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Altro).
  • Attività informativa prevista:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - provare a modificare di conseguenza il nome dell'enumerazione nell'API pubblica e Other (Altro).
  • Falso positivo:Not malicious (Pulisci): valutare la possibilità di modificare di conseguenza il nome dell'enumerazione nell'API pubblica ( Not enough data to validate InsufficientData) e Other (Altro).
  • tag elenco di stringhe Elenco di tag evento imprevisto (solo customTags).
    Commenti Elenco dei commenti degli eventi imprevisti L'oggetto Commento evento imprevisto contiene: stringa di commento, stringa createdBy e data di creazioneTime.
    Avvisi elenco di avvisi Elenco degli avvisi correlati. Vedere gli esempi nella documentazione dell'API Elenca eventi imprevisti .

    Nota

    Intorno al 29 agosto 2022, i valori di determinazione degli avvisi supportati in precedenza (Apt e SecurityPersonnel) verranno deprecati e non più disponibili tramite l'API.

    Consiglio

    Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.