Microsoft Defender XDR API de incidentes y el tipo de recurso incidents
Se aplica a:
Nota:
Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Un incidente es una colección de alertas relacionadas que ayudan a describir un ataque. Los eventos de diferentes entidades de la organización se agregan automáticamente mediante Microsoft Defender XDR. Puede usar la API de incidentes para acceder mediante programación a los incidentes de la organización y a las alertas relacionadas.
Cuotas y asignación de recursos
Puede solicitar hasta 50 llamadas por minuto o 1500 llamadas por hora. Cada método también tiene sus propias cuotas. Para obtener más información sobre las cuotas específicas del método, consulte el artículo correspondiente para el método que desea usar.
Un 429 código de respuesta HTTP indica que ha alcanzado una cuota, ya sea por número de solicitudes enviadas o por tiempo de ejecución asignado. El cuerpo de la respuesta incluye el tiempo hasta que se restablece la cuota alcanzada.
Permissions
La API de incidentes requiere diferentes tipos de permisos para cada uno de sus métodos. Para obtener más información sobre los permisos necesarios, consulte el artículo del método correspondiente.
Métodos
| Método | Tipo de valor devuelto | Descripción |
|---|---|---|
| Lista de Incidentes | Lista de incidentes | Obtenga una lista de incidentes. |
| Incidente de actualización | Incidente | Actualice un incidente específico. |
| Obtener incidente | Incidente | Obtenga un único incidente. |
Cuerpo de la solicitud, respuesta y ejemplos
Consulte los artículos del método correspondiente para obtener más detalles sobre cómo construir una solicitud o analizar una respuesta, y para obtener ejemplos prácticos.
Propiedades comunes
| Propiedad | Tipo | Description |
|---|---|---|
| incidentId | largo | Identificador único del incidente. |
| redirectIncidentId | long que admite valores NULL | Identificador de incidente al que se combinó el incidente actual. |
| incidentName | string | Nombre del incidente. |
| createdTime | DateTimeOffset | Fecha y hora (en UTC) en la que se creó el incidente. |
| lastUpdateTime | DateTimeOffset | Fecha y hora (en UTC) que el incidente se actualizó por última vez. |
| assignedTo | string | Propietario del incidente. |
| severity | Enum | Gravedad del incidente. Los valores posibles son: UnSpecified, Informational, Low, Mediumy High. |
| status | Enum | Especifica el estado actual del incidente. Los valores posibles son Active, InProgress, Resolved y Redirected |
| classification | Enum | Especificación del incidente. Los valores posibles son: TruePositive, Informational, expected activityy FalsePositive. |
| Determinación | Enum | Especifica la determinación del incidente. Los valores de determinación posibles para cada clasificación son: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) y Other (Other). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia y Other (Otros). Not malicious (Limpiar): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Not enough data to validate (InsufficientData) y Other (Other). |
| tags | lista de cadenas | Lista de etiquetas de incidentes. |
| comments | Lista de comentarios de incidentes | El objeto Incident Comment contiene: cadena de comentario, cadena createdBy y fecha y hora de createTime. |
| alertas | lista de alertas | Lista de alertas relacionadas. Consulte ejemplos en la documentación de la API De lista de incidentes . |
Nota:
Alrededor del 29 de agosto de 2022, los valores de determinación de alertas admitidos anteriormente (Apt y SecurityPersonnel) quedarán en desuso y ya no estarán disponibles a través de la API.
Artículos relacionados
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de