Defender でインシデント API をMicrosoft 365するList incidents API in Microsoft 365 Defender

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。Microsoft makes no warranties, express or implied, with respect to the information provided here.

API の説明API description

リスト インシデント API を使用すると、インシデントを並べ替え、情報に基づいたサイバーセキュリティ対応を作成できます。The list incidents API allows you to sort through incidents to create an informed cybersecurity response. 環境保持ポリシーで指定した時間範囲内で、ネットワークでフラグが設定されたインシデントのコレクションが公開されます。It exposes a collection of incidents that were flagged in your network, within the time range you specified in your environment retention policy. 最新のインシデントがリストの上部に表示されます。The most recent incidents are displayed at the top of the list. 各インシデントには、関連するアラートとその関連エンティティの配列が含まれる。Each incident contains an array of related alerts, and their related entities.

API では、次の OData 演算子がサポート されています。The API supports the following OData operators:

  • $filter on lastUpdateTime the createdTime , , and status assignedTo properties$filter on the lastUpdateTime, createdTime, status, and assignedTo properties
  • $topで、最大値 は 100 です。$top, with a maximum value of 100
  • $skip

制限事項Limitations

  1. 最大ページ サイズは 100 インシデントですMaximum page size is 100 incidents.
  2. 要求の最大レートは 、1 分あたり 50 通話****、1 時間あたり 1500 通話ですMaximum rate of requests is 50 calls per minute and 1500 calls per hour.

アクセス許可Permissions

この API を呼び出すには、次のいずれかのアクセス許可が必要です。One of the following permissions is required to call this API. アクセス許可の選択方法などの詳細については、「Access Microsoft 365 Defender API」を参照してください。To learn more, including how to choose permissions, see Access Microsoft 365 Defender APIs

アクセス許可の種類Permission type アクセス許可Permission アクセス許可の表示名Permission display name
アプリケーションApplication Incident.Read.AllIncident.Read.All すべてのインシデントを読み取るRead all incidents
アプリケーションApplication Incident.ReadWrite.AllIncident.ReadWrite.All すべてのインシデントの読み取りおよび書き込みRead and write all incidents
委任 (職場または学校のアカウント)Delegated (work or school account) Incident.ReadIncident.Read インシデントの読み取りRead incidents
委任 (職場または学校のアカウント)Delegated (work or school account) Incident.ReadWriteIncident.ReadWrite インシデントの読み取りおよび書き込みRead and write incidents

注意

ユーザー資格情報を使用してトークンを取得する場合:When obtaining a token using user credentials:

  • ユーザーは、ポータルでインシデントの表示アクセス許可を持っている必要があります。The user needs to have view permission for incidents in the portal.
  • 応答には、ユーザーが公開されているインシデントだけが含まれます。The response will only include incidents that the user is exposed to.

HTTP 要求HTTP request

GET /api/incidents

要求ヘッダーRequest headers

名前Name Type 説明Description
AuthorizationAuthorization StringString ベアラー {token}。Bearer {token}. 必須Required

要求本文Request body

なし。None.

応答Response

成功した場合、このメソッドは 200 OK 応答本文のインシデントの一 を返します。If successful, this method returns 200 OK, and a list of incidents in the response body.

スキーマ マッピングSchema mapping

インシデント メタデータIncident metadata

フィールド名Field name 説明Description 値の例Example value
incidentIdincidentId インシデントを表す一意の識別子Unique identifier to represent the incident 924565924565
redirectIncidentIdredirectIncidentId インシデント処理ロジックの一部として、インシデントが別のインシデントとグループ化されている場合にのみ設定されます。Only populated in case an incident is being grouped together with another incident, as part of the incident processing logic. 924569924569
incidentNameincidentName すべてのインシデントで使用できる文字列値。String value available for every incident. ランサムウェアのアクティビティRansomware activity
createdTimecreatedTime インシデントが最初に作成された時刻。Time when incident was first created. 2020-09-06T14:46:57.073333Z2020-09-06T14:46:57.0733333Z
lastUpdateTimelastUpdateTime バックエンドでインシデントが最後に更新された時刻。Time when the incident was last updated on the backend.

このフィールドは、インシデントが取得される時間の範囲に対して要求パラメーターを設定するときに使用できます。This field can be used when you're setting the request parameter for the range of time that incidents are retrieved.
2020-09-06T14:46:57.29Z2020-09-06T14:46:57.29Z
assignedToassignedTo インシデントの所有者、または所有者 が割り当 てられていない場合は null。Owner of the incident, or null if no owner is assigned. secop2@contoso.comsecop2@contoso.com
classificationclassification インシデントの仕様。The specification for the incident. プロパティの値は次 のとおりです。不明**、FalsePositive、TruePositive The property values are: Unknown, FalsePositive, TruePositive 不明Unknown
決定determination インシデントの決定を指定します。Specifies the determination of the incident. プロパティの値は次 のとおりです。 NotAvailableAptMalwareSecurityPersonnelSecurityTestingUnwantedSoftwareそのThe property values are: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other NotAvailableNotAvailable
statusstatus インシデント (アクティブ 、または解決 済み) を分類しますCategorize incidents (as Active, or Resolved). インシデントに対する対応を整理および管理するのに役立ちます。It can help you organize and manage your response to incidents. 有効Active
severityseverity アセットへの影響の可能性を示します。Indicates the possible impact on assets. 重大度が高いほど、影響は大きくなります。The higher the severity the bigger the impact. 通常、重要度の高い項目では、最も迅速な注意が必要です。Typically higher severity items require the most immediate attention.

次のいずれかの値: Informational、Low、*Medium、High です。 One of the following values: Informational, Low, *Medium, and High.
Medium
tagstags インシデントに関連付けられたカスタム タグの配列 。たとえば、共通の特性を持つインシデントのグループにフラグを設定します。Array of custom tags associated with an incident, for example to flag a group of incidents with a common characteristic. []
commentscomments インシデントの管理時に secops によって作成されたコメントの配列 (分類の選択に関する追加情報など)。Array of comments created by secops when managing the incident, for example additional information about the classification selection. []
アラートalerts インシデントに関連するアラートのすべてと、重大度、アラートに関係していたエンティティ、アラートのソースなどのその他の情報を含む配列。Array containing all of the alerts related to the incident, plus other information, such as severity, entities that were involved in the alert, and the source of the alerts. [] (以下のアラート フィールドの詳細を参照してください)[] (see details on alert fields below)

アラート メタデータAlerts metadata

フィールド名Field name 説明Description 値の例Example value
alertIdalertId アラートを表す一意の識別子Unique identifier to represent the alert caD70CFEE2-1F54-32DB-9988-3A868A1EBFACcaD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentIdincidentId このアラートが関連付けられているインシデントを表す一意の識別子Unique identifier to represent the incident this alert is associated with 924565924565
serviceSourceserviceSource Microsoft Defender for Endpoint、microsoft Defender for Endpoint、Microsoft Cloud App Security Id、Microsoft Defender for Identity など、アラートの発生元となるサービスOffice 365。Service that the alert originates from, such as Microsoft Defender for Endpoint, Microsoft Cloud App Security, Microsoft Defender for Identity, or Microsoft Defender for Office 365. MicrosoftCloudAppSecurityMicrosoftCloudAppSecurity
creationTimecreationTime アラートが最初に作成された時刻。Time when alert was first created. 2020-09-06T14:46:55.7182276Z2020-09-06T14:46:55.7182276Z
lastUpdatedTimelastUpdatedTime バックエンドでアラートが最後に更新された時刻。Time when alert was last updated at the backend. 2020-09-06T14:46:57.243333Z2020-09-06T14:46:57.2433333Z
resolvedTimeresolvedTime アラートが解決された時刻。Time when alert was resolved. 2020-09-10T05:22:59Z2020-09-10T05:22:59Z
firstActivityfirstActivity アクティビティがバックエンドで更新されたとアラートが最初に報告された時刻。Time when alert first reported that activity was updated at the backend. 2020-09-04T05:22:59Z2020-09-04T05:22:59Z
タイトルtitle 各アラートで使用できる文字列値を簡単に識別します。Brief identifying string value available for each alert. ランサムウェアのアクティビティRansomware activity
説明description 各アラートを表す文字列値。String value describing each alert. ユーザー Test User2 (testUser2@contoso.com) は、複数の拡張子を持つ 99 ファイルを操作し、珍しい拡張子 herunterladen で終わらせたThe user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. これは、ファイル操作の異常な数であり、潜在的なランサムウェア攻撃を示しています。This is an unusual number of file manipulations and is indicative of a potential ransomware attack.
categorycategory キル チェーンに沿って攻撃がどこまで進んでいるかの視覚的および数値的なビュー。Visual and numeric view of how far the attack has progressed along the kill chain. CK の MITRE ATT&に™しますAligned to the MITRE ATT&CK™ framework. 影響Impact
statusstatus アラートを分類する (新規、**アクティブまたは解決済み)。Categorize alerts (as New, Active, or Resolved). アラートに対する応答を整理および管理するのに役立ちます。It can help you organize and manage your response to alerts. 新規New
severityseverity アセットへの影響の可能性を示します。Indicates the possible impact on assets. 重大度が高いほど、影響は大きくなります。The higher the severity the bigger the impact. 通常、重要度の高い項目では、最も迅速な注意が必要です。Typically higher severity items require the most immediate attention.
次のいずれかの値: Informational、Low、*Medium、High です。 One of the following values: Informational, Low, *Medium, and High.
Medium
investigationIdinvestigationId このアラートによってトリガーされる自動調査 ID。The automated investigation ID triggered by this alert. 12341234
investigationStateinvestigationState 調査の現在の状態に関する情報。Information on the investigation's current status. 次の値の 1 つ:不明、終了 、正常に修復された、良性、失敗、部分的 に修復された、実行中**、PendingApproval 、PendingApproval 、PendingResource 、PartiallyInvestigated 、TerminatedByUser 、TerminatedBySystem、キューに入れられ 、InnerFailure 、PreexistingAlert 、UnsupportedOs 、UnsupportedAlertType 、SuppressedAlertOne of the following values: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. サポートされていないAlertTypeUnsupportedAlertType
classificationclassification インシデントの仕様。The specification for the incident. プロパティの値は、不明**、FalsePositive、TruePositive、 または null です。 The property values are: Unknown, FalsePositive, TruePositive, or null 不明Unknown
決定determination インシデントの決定を指定します。Specifies the determination of the incident. プロパティの値は次 のとおりです。 NotAvailableAptMalwareSecurityPersonnelSecurityTesting UnwantedSoftware、 Other or nullThe property values are: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other or null AptApt
assignedToassignedTo インシデントの所有者、または所有者 が割り当 てられていない場合は null。Owner of the incident, or null if no owner is assigned. secop2@contoso.comsecop2@contoso.com
actorNameactorName このアラートに関連付けられているアクティビティ グループ (その場合)。The activity group, if any, the associated with this alert. ボロンBORON
threatFamilyNamethreatFamilyName このアラートに関連付けられた脅威ファミリ。Threat family associated with this alert. nullnull
mitreTechniquesmitreTechniques 攻撃手法は 、MITRE ATTおよび CK&に™されます。The attack techniques, as aligned with the MITRE ATT&CK™ framework. []
デバイスdevices インシデントに関連する通知が送信されたすべてのデバイス。All devices where alerts related to the incident were sent. [] (以下のエンティティ フィールドの詳細を参照してください)[] (see details on entity fields below)

デバイスの形式Device format

フィールド名Field name 説明Description 値の例Example value
DeviceIdDeviceId Microsoft Defender for Endpoint で指定されているデバイス ID。The device ID as designated in Microsoft Defender for Endpoint. 24c222b0b60fe148eeece49ac83910cc6a7ef49124c222b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceIdaadDeviceId デバイス ID は、デバイス ID で指定Azure Active Directory。The device ID as designated in Azure Active Directory. ドメインに参加しているデバイスでのみ使用できます。Only available for domain-joined devices. nullnull
deviceDnsNamedeviceDnsName デバイスの完全修飾ドメイン名。The fully qualified domain name for the device. user5cx.middleeast.corp.contoso.comuser5cx.middleeast.corp.contoso.com
osPlatformosPlatform デバイスが実行されている OS プラットフォーム。The OS platform the device is running. WindowsServer2016WindowsServer2016
osBuildosBuild デバイスが実行されている OS のビルド バージョン。The build version for the OS the device is running. 1439314393
rbacGroupNamerbacGroupName デバイス に関連付けられた役割ベース のアクセス制御 (RBAC) グループ。The role-based access control (RBAC) group associated with the device. WDATP-Ring0WDATP-Ring0
firstSeenfirstSeen デバイスが最初に表示された時刻。Time when device was first seen. 2020-02-06T14:16:01.9330135Z2020-02-06T14:16:01.9330135Z
healthStatushealthStatus デバイスの正常性状態。The health state of the device. 有効Active
riskScoreriskScore デバイスのリスク スコア。The risk score for the device. 高いHigh
エンティティentities 特定のアラートの一部として、または関連付けと識別されたすべてのエンティティ。All entities that have been identified to be part of, or related to, a given alert. [] (以下のエンティティ フィールドの詳細を参照してください)[] (see details on entity fields below)

エンティティの形式Entity Format

フィールド名Field name 説明Description 値の例Example value
entityTypeentityType 特定のアラートの一部または関連付けと識別されたエンティティ。Entities that have been identified to be part of, or related to, a given alert.
プロパティの値は次 のとおりです。 ユーザー 、 IpUrlファイルプロセス、 MailBox 、 MailMessageMailClusterレジストリThe properties values are: User, Ip, Url, File, Process, MailBox, MailMessage, MailCluster, Registry
ユーザーUser
sha1sha1 entityType が File の場合に 使用できますAvailable if entityType is File.
ファイルまたはプロセスに関連付けられたアラートのファイル ハッシュ。The file hash for alerts associated with a file or process.
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256sha256 entityType が File の場合に 使用できますAvailable if entityType is File.
ファイルまたはプロセスに関連付けられたアラートのファイル ハッシュ。The file hash for alerts associated with a file or process.
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d804328cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
fileNamefileName entityType が File の場合に 使用できますAvailable if entityType is File.
ファイルまたはプロセスに関連付けられたアラートのファイル名The file name for alerts associated with a file or process
Detector.UnitTests.dllDetector.UnitTests.dll
filePathfilePath entityType が File の場合に 使用できますAvailable if entityType is File.
ファイルまたはプロセスに関連付けられたアラートのファイル パスThe file path for alerts associated with a file or process
C: \ \agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\OutC:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
processIdprocessId entityType が Process の場合に 使用できますAvailable if entityType is Process. 2434824348
processCommandLineprocessCommandLine entityType が Process の場合に 使用できますAvailable if entityType is Process. "ファイルがダウンロードできる状態 _1911150169.exe""Your File Is Ready To Download_1911150169.exe"
processCreationTimeprocessCreationTime entityType が Process の場合に 使用できますAvailable if entityType is Process. 2020-07-18T03:25:38.5269993Z2020-07-18T03:25:38.5269993Z
parentProcessIdparentProcessId entityType が Process の場合に 使用できますAvailable if entityType is Process. 1684016840
parentProcessCreationTimeparentProcessCreationTime entityType が Process の場合に 使用できますAvailable if entityType is Process. 2020-07-18T02:12:32.8616797Z2020-07-18T02:12:32.8616797Z
ipAddressipAddress entityType が Ip の場合に 使用できますAvailable if entityType is Ip.
悪意のあるネットワーク宛先への通信など、ネットワーク イベントに関連付 けられたアラートの IP アドレス。IP address for alerts associated with network events, such as Communication to a malicious network destination.
62.216.203.20462.216.203.204
urlurl entityType が Url の場合に 使用できますAvailable if entityType is Url.
ネットワーク イベント (悪意のあるネットワーク宛先への通信など) に関連付 けられたアラートの URL です。Url for alerts associated to network events, such as, Communication to a malicious network destination.
down.esales360.cndown.esales360.cn
accountNameaccountName entityType が User の場合に 使用できますAvailable if entityType is User. testUser2testUser2
domainNamedomainName entityType が User の場合に 使用できますAvailable if entityType is User. europe.corp.contosoeurope.corp.contoso
userSiduserSid entityType が User の場合に 使用できますAvailable if entityType is User. S-1-5-21-1721254763-462695806-1538882281-41566657S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserIdaadUserId entityType が User の場合に 使用できますAvailable if entityType is User. fc8f7484-f813-4db2-afab-bc1507913fb6fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalNameuserPrincipalName entityType がUser / MailBox / MailMessage の場合に使用できますAvailable if entityType is User/MailBox/MailMessage. testUser2@contoso.comtestUser2@contoso.com
mailboxDisplayNamemailboxDisplayName entityType が MailBox の場合に使用できますAvailable if entityType is MailBox. Test User2test User2
mailboxAddressmailboxAddress entityType がUser / MailBox / MailMessage の場合に使用できますAvailable if entityType is User/MailBox/MailMessage. testUser2@contoso.comtestUser2@contoso.com
clusterByclusterBy entityType が MailCluster の場合に使用できますAvailable if entityType is MailCluster. 件名。P2SenderDomain;ContentTypeSubject;P2SenderDomain;ContentType
sendersender entityType がUser / MailBox / MailMessage の場合に使用できますAvailable if entityType is User/MailBox/MailMessage. user.abc@mail.contoso.co.inuser.abc@mail.contoso.co.in
受信者recipient entityType が MailMessage の場合に使用できますAvailable if entityType is MailMessage. testUser2@contoso.comtestUser2@contoso.com
subjectsubject entityType が MailMessage の場合に使用できますAvailable if entityType is MailMessage. [EXTERNAL ] Attention[EXTERNAL] Attention
deliveryActiondeliveryAction entityType が MailMessage の場合に使用できますAvailable if entityType is MailMessage. 配信Delivered
securityGroupIdsecurityGroupId entityType が SecurityGroup の場合に使用できますAvailable if entityType is SecurityGroup. 301c47c8-e15f-4059-ab09-e2ba9ffd372b301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupNamesecurityGroupName entityType が SecurityGroup の場合に使用できますAvailable if entityType is SecurityGroup. ネットワーク構成演算子Network Configuration Operators
registryHiveregistryHive entityType がレジストリの場合 に使用できますAvailable if entityType is Registry. HKEY _ ローカル _ コンピューターHKEY_LOCAL_MACHINE
registryKeyregistryKey entityType がレジストリの場合 に使用できますAvailable if entityType is Registry. SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonSOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueTyperegistryValueType entityType がレジストリの場合 に使用できますAvailable if entityType is Registry. StringString
registryValueregistryValue entityType がレジストリの場合 に使用できますAvailable if entityType is Registry. 31-00-00-0031-00-00-00
deviceIddeviceId エンティティに関連するデバイスの ID (存在する場合)。The ID, if any, of the device related to the entity. 986e5df8b73dacd43c8917d17e523e76b13c75cd986e5df8b73dacd43c8917d17e523e76b13c75cd

Example

要求Request

GET https://api.security.microsoft.com/api/incidents

応答Response

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Windows Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}