Microsoft 365 API d’incidents Defender et type de ressource incidentsMicrosoft 365 Defender incidents API and the incidents resource type

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique à :Applies to:

Important

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale.Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.Microsoft makes no warranties, express or implied, with respect to the information provided here.

Un incident est un ensemble d’alertes associées qui permettent de décrire une attaque.An incident is a collection of related alerts that help describe an attack. Les événements de différentes entités de votre organisation sont regroupés automatiquement par Microsoft 365 Defender.Events from different entities in your organization are automatically aggregated by Microsoft 365 Defender. Vous pouvez utiliser l’API d’incidents pour accéder par programmation aux incidents de votre organisation et aux alertes associées.You can use the incidents API to programatically access your organization's incidents and related alerts.

Quotas et allocation de ressourcesQuotas and resource allocation

Vous pouvez demander jusqu’à 50 appels par minute ou 1 500 appels par heure.You can request up to 50 calls per minute or 1500 calls per hour. Chaque méthode possède également ses propres quotas.Each method also has its own quotas. Pour plus d’informations sur les quotas propres aux méthodes, consultez l’article respectif de la méthode que vous souhaitez utiliser.For more information on method-specific quotas, see the respective article for the method you want to use.

Un code de réponse HTTP indique que vous avez atteint un quota, soit par nombre de demandes envoyées, soit par temps 429 d’exécution alloué.A 429 HTTP response code indicates that you've reached a quota, either by number of requests sent, or by allotted running time. Le corps de la réponse inclut la durée jusqu’à ce que le quota que vous avez atteint soit réinitialisé.The response body will include the time until the quota you reached will be reset.

AutorisationsPermissions

L’API incidents nécessite différents types d’autorisations pour chacune de ses méthodes.The incidents API requires different kinds of permissions for each of its methods. Pour plus d’informations sur les autorisations requises, consultez l’article de la méthode respective.For more information about required permissions, see the respective method's article.

MéthodesMethods

MéthodeMethod Type renvoyéReturn Type DescriptionDescription
Répertorier les incidentsList incidents Liste des incidentsIncident list Obtenir la liste des incidents.Get a list of incidents.
Incident de mise à jourUpdate incident IncidentIncident Mettre à jour un incident spécifique.Update a specific incident.
Obtenir un incidentGet incident IncidentIncident Obtenez un incident unique.Get a single incident.

Corps de la demande, réponse et exemplesRequest body, response, and examples

Reportez-vous aux articles de méthode respectifs pour plus d’informations sur la construction d’une demande ou l’analyse d’une réponse, et pour obtenir des exemples pratiques.Refer to the respective method articles for more details on how to construct a request or parse a response, and for practical examples.

Propriétés courantesCommon properties

PropriétéProperty TypeType DescriptionDescription
incidentIdincidentId longlong ID unique de l’incident.Incident unique ID.
redirectIncidentIdredirectIncidentId nullable longnullable long L’ID d’incident dans le cas de l’incident en cours a été fusionné.The Incident ID the current Incident was merged to.
incidentNameincidentName stringstring Nom de l’incident.The name of the Incident.
createdTimecreatedTime DateTimeOffsetDateTimeOffset Date et heure (en UTC) de création de l’incident.The date and time (in UTC) the Incident was created.
lastUpdateTimelastUpdateTime DateTimeOffsetDateTimeOffset Date et heure (en UTC) de la dernière mise à jour de l’incident.The date and time (in UTC) the Incident was last updated.
assignedToassignedTo stringstring Propriétaire de l’incident.Owner of the Incident.
Sévérité severity ÉnumEnum Gravité de l’incident.Severity of the Incident. Les valeurs possibles UnSpecified sont : , , et Informational Low Medium High .Possible values are: UnSpecified, Informational, Low, Medium, and High.
statusstatus ÉnumEnum Spécifie l’état actuel de l’incident.Specifies the current status of the incident. Les valeurs possibles Active sont : , et Resolved Redirected .Possible values are: Active, Resolved, and Redirected.
classificationclassification ÉnumEnum Spécification de l’incident.Specification of the incident. Les valeurs possibles sont les suivantes : Unknown, FalsePositive et TruePositive.Possible values are: Unknown, FalsePositive, TruePositive.
déterminationdetermination ÉnumEnum Spécifie la détermination de l’incident.Specifies the determination of the incident. Les valeurs possibles sont les suivantes : NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware et Other.Possible values are: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other.
étiquettestags liste de chaînesstring List Liste des balises d’incident.List of Incident tags.
commentairescomments Liste des commentaires sur les incidentsList of incident comments L’objet Incident Comment contient : chaîne de commentaire, chaîne createdBy et heure de date createTime.Incident Comment object contains: comment string, createdBy string, and createTime date time.
alertsalerts Liste des alertesAlert List Liste des alertes associées.List of related alerts. Consultez des exemples dans la documentation de l’API d’incidents de liste.See examples at List incidents API documentation.