API инцидентов XDR в Microsoft Defender и тип ресурса инцидентов

Область применения:

Примечание.

Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Инцидент — это набор связанных оповещений, которые помогают описать атаку. События из разных сущностей в вашей организации автоматически агрегируются XDR в Microsoft Defender. API инцидентов можно использовать для программного доступа к инцидентам организации и связанным с ними оповещениям.

Квоты и выделение ресурсов

Вы можете запрашивать до 50 звонков в минуту или 1500 звонков в час. Каждый метод также имеет свои собственные квоты. Дополнительные сведения о квотах для конкретных методов см. в соответствующей статье о методе, который вы хотите использовать.

Код 429 ответа HTTP указывает, что вы достигли квоты по количеству отправленных запросов или выделенному времени выполнения. Текст ответа включает время до сброса достигнутой квоты.

Разрешения

API инцидентов требует различных типов разрешений для каждого из своих методов. Дополнительные сведения о необходимых разрешениях см. в статье соответствующего метода.

Методы

Метод Возвращаемый тип Описание
Получение списка инцидентов Список инцидентов Получение списка инцидентов.
Обновление данных об инциденте Инцидент Обновите конкретный инцидент.
Получение инцидента Инцидент Получение одного инцидента.

Текст запроса, ответ и примеры

Дополнительные сведения о создании запроса или анализе ответа см. в статьях о соответствующих методах, а также практические примеры.

Общие свойства

Свойство Тип Описание
incidentId long Уникальный идентификатор инцидента.
redirectIncidentId Длинный, допускающий значение NULL Идентификатор инцидента, с который был объединен текущий инцидент.
incidentName string Имя инцидента.
createdTime DateTimeOffset Дата и время создания инцидента (в формате UTC).
lastUpdateTime DateTimeOffset Дата и время последнего обновления инцидента (в формате UTC).
assignedTo string Владелец инцидента.
severity Перечисление Серьезность инцидента. Возможные значения: UnSpecified, Informational, Low, Mediumи High.
status Перечисление Указывает текущее состояние инцидента. Возможные значения: Active, InProgress, Resolved и Redirected.
classification Перечисление Спецификация инцидента. Возможные значения: TruePositive, Informational, expected activityи FalsePositive.
решимость Перечисление Указывает определение инцидента.

Возможные значения определения для каждой классификации:

  • Истинный положительный результат: Multistage attack (MultiStagedAttack), Malicious user activity (MalwareUserActivity), Compromised account (CompromisedUser) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом Malware (Вредоносные программы), Phishing (Фишинг), Unwanted software (UnwantedSoftware) и Other (Прочее).
  • Информационное ожидаемое действие:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом и Other (Другое).
  • Ложноположительный результат:Not malicious (Чистая) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом ( Not enough data to validate InsufficientData) и Other (Other).
  • tags список строк Список тегов инцидентов (только customTags).
    comments Список комментариев к инциденту Объект Incident Comment содержит строку комментария, строку createdBy и время даты createTime.
    оповещения Список оповещений Список связанных оповещений. Примеры см. в документации по API перечисления инцидентов .

    Примечание.

    Примерно 29 августа 2022 г. поддерживаемые ранее значения определения оповещений (Apt и SecurityPersonnel) будут устарели и больше не будут доступны через API.

    Совет

    Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.