Microsoft Defender XDR インシデント API とインシデント リソースの種類
適用対象:
注:
MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
インシデントは、攻撃の説明に役立つ関連アラートのコレクションです。 組織内のさまざまなエンティティからのイベントは、Microsoft Defender XDR によって自動的に集計されます。 インシデント API を使用して、組織のインシデントと関連するアラートにプログラムでアクセスできます。
クォータとリソース割り当て
1 分あたり最大 50 通話または 1 時間あたり 1,500 回の通話を要求できます。 各メソッドには、独自のクォータもあります。 メソッド固有のクォータの詳細については、使用するメソッドのそれぞれの記事を参照してください。
429 HTTP 応答コードは、送信された要求の数または割り当てられた実行時間によって、クォータに達したことを示します。 応答本文には、到達したクォータがリセットされるまでの時間が含まれます。
アクセス許可
incidents API には、そのメソッドごとにさまざまな種類のアクセス許可が必要です。 必要なアクセス許可の詳細については、それぞれのメソッドの記事を参照してください。
メソッド
| メソッド | 戻り値の型 | 説明 |
|---|---|---|
| インシデントをリストする | インシデント 一覧 | インシデントの一覧を取得します。 |
| インシデントを更新する | インシデント | 特定のインシデントを更新します。 |
| インシデントを取得する | インシデント | 1 つのインシデントを取得します。 |
要求本文、応答、および例
要求を作成する方法や応答を解析する方法の詳細と実際の例については、それぞれのメソッド記事を参照してください。
共通プロパティ
| プロパティ | 種類 | 説明 |
|---|---|---|
| incidentId | long | インシデントの一意の ID。 |
| redirectIncidentId | null 許容 long | 現在のインシデントがマージされたインシデント ID。 |
| incidentName | string | インシデントの名前。 |
| createdTime | DateTimeOffset | インシデントが作成された日時 (UTC)。 |
| lastUpdateTime | DateTimeOffset | インシデントが最後に更新された日時 (UTC)。 |
| assignedTo | string | インシデントの所有者。 |
| severity | 列挙 | インシデントの重大度。 使用可能な値は、 UnSpecified、 Informational、 Low、 Medium、および Highです。 |
| status | 列挙 | インシデントの現在の状態を指定します。 可能な値は、Active、InProgress、Resolved、および Redirected です。 |
| classification | 列挙 | インシデントの仕様。 使用可能な値は、 TruePositive、 Informational, expected activity、および FalsePositiveです。 |
| 決定 | 列挙 | インシデントの決定を指定します。 分類ごとに考えられる決定値は次のとおりです。 Multistage attack (MultiStagedAttack)、 Malicious user activity (MaliciousUserActivity)、 Compromised account (CompromisedUser) - パブリック API の列挙型名を適宜、 Malware (マルウェア)、 Phishing (フィッシング)、 Unwanted software (UnwantedSoftware)、 Other (その他) に変更することを検討してください。 Security test (SecurityTesting)、 Line-of-business application (LineOfBusinessApplication)、 Confirmed activity (ConfirmedUserActivity) - それに応じてパブリック API の列挙型名を変更し、 Other (その他) を検討してください。 Not malicious (クリーン) - パブリック API の列挙名を適宜、 Not enough data to validate (InsufficientData)、 Other (その他) に変更することを検討してください。 |
| tags | 文字列リスト | インシデント タグの一覧。 |
| comments | インシデント コメントの一覧 | Incident Comment オブジェクトには、コメント文字列、createdBy 文字列、createTime 日付時刻が含まれます。 |
| アラート | アラート リスト | 関連するアラートの一覧。 インシデントの 一覧表示 API ドキュメントの例を参照してください。 |
注:
2022 年 8 月 29 日頃、以前にサポートされていたアラート判定値 (Apt と SecurityPersonnel) は非推奨となり、API を介して使用できなくなります。
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示