API de incidentes de Microsoft 365 Defender y el tipo de recurso incidentMicrosoft 365 Defender incidents API and the incident resource type

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial.Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.Microsoft makes no warranties, express or implied, with respect to the information provided here.

Un incidente es una colección de alertas relacionadas que ayudan a describir un ataque.An incident is a collection of related alerts that help describe an attack. Microsoft 365 Defender agrega automáticamente eventos de distintas entidades de la organización.Events from different entities in your organization are automatically aggregated by Microsoft 365 Defender. Puede usar la API de incidentes para acceder programativamente a los incidentes de su organización y a las alertas relacionadas.You can use the incidents API to programatically access your organization's incidents and related alerts.

Cuotas y asignación de recursosQuotas and resource allocation

Puede solicitar hasta 50 llamadas por minuto o 1500 llamadas por hora.You can request up to 50 calls per minute or 1500 calls per hour. Cada método también tiene sus propias cuotas.Each method also has its own quotas. Para obtener más información sobre las cuotas específicas del método, vea el artículo correspondiente para el método que desea usar.For more information on method-specific quotas, see the respective article for the method you want to use.

Un código de respuesta HTTP indica que ha alcanzado una cuota, ya sea por número de solicitudes enviadas o por tiempo 429 de ejecución asignado.A 429 HTTP response code indicates that you've reached a quota, either by number of requests sent, or by allotted running time. El cuerpo de la respuesta incluirá la hora hasta que se restablezca la cuota alcanzada.The response body will include the time until the quota you reached will be reset.

PermisosPermissions

La API de incidentes requiere distintos tipos de permisos para cada uno de sus métodos.The incidents API requires different kinds of permissions for each of its methods. Para obtener más información acerca de los permisos necesarios, consulte el artículo del método respectivo.For more information about required permissions, see the respective method's article.

MethodsMethods

MétodoMethod Tipo de valor devueltoReturn Type DescripciónDescription
Lista de IncidentesList incidents Lista de incidentesIncident list Obtener una lista de incidentes.Get a list of incidents.
Incidente de actualizaciónUpdate incident IncidenteIncident Actualice un incidente específico.Update a specific incident.

Cuerpo de la solicitud, respuesta y ejemplosRequest body, response, and examples

Consulte los artículos de método respectivos para obtener más información sobre cómo construir una solicitud o analizar una respuesta, y para obtener ejemplos prácticos.Refer to the respective method articles for more details on how to construct a request or parse a response, and for practical examples.

Propiedades comunesCommon properties

PropiedadProperty TipoType DescripciónDescription
incidentIdincidentId largolong Identificador único de incidente.Incident unique ID.
redirectIncidentIdredirectIncidentId long nullablenullable long El identificador de incidente con el que se ha combinado el incidente actual.The Incident ID the current Incident was merged to.
incidentNameincidentName stringstring Nombre del incidente.The name of the Incident.
createdTimecreatedTime DateTimeOffsetDateTimeOffset La fecha y hora (en UTC) que se creó el incidente.The date and time (in UTC) the Incident was created.
lastUpdateTimelastUpdateTime DateTimeOffsetDateTimeOffset La fecha y hora (en UTC) se actualizó por última vez el incidente.The date and time (in UTC) the Incident was last updated.
assignedToassignedTo stringstring Propietario del incidente.Owner of the Incident.
severityseverity EnumEnum Gravedad del incidente.Severity of the Incident. Los valores posibles son: UnSpecified , , , y Informational Low Medium High .Possible values are: UnSpecified, Informational, Low, Medium, and High.
statusstatus EnumEnum Especifica el estado actual del incidente.Specifies the current status of the incident. Los valores posibles son: Active Resolved , y Redirected .Possible values are: Active, Resolved, and Redirected.
classificationclassification EnumEnum Especificación del incidente.Specification of the incident. Los valores posibles son: Unknown, FalsePositive y TruePositive.Possible values are: Unknown, FalsePositive, TruePositive.
determinacióndetermination EnumEnum Especifica la determinación del incidente.Specifies the determination of the incident. Valores posibles: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other.Possible values are: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other.
tagstags lista de cadenasstring List Lista de etiquetas de incidentes.List of Incident tags.
alertsalerts Lista de alertasAlert List Lista de alertas relacionadas.List of related alerts. Vea ejemplos en Enumerar la documentación de la API de incidentes.See examples at List incidents API documentation.