インシデント API の更新Update incidents API

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。Microsoft makes no warranties, express or implied, with respect to the information provided here.

API の説明API description

既存のインシデントのプロパティを更新します。Updates properties of existing incident. 更新可能なプロパティは status determination classification 、、、、、、 assignedTo tags です commentsUpdatable properties are: status, determination, classification, assignedTo, tags, and comments.

クォータ、リソース割り当て、その他の制約Quotas, resource allocation, and other constraints

  1. 調整のしきい値に達する前に、1 分あたり最大 50 回の通話または 1 時間あたり 1500 回の通話を行います。You can make up to 50 calls per minute or 1500 calls per hour before you hit the throttling threshold.
  2. プロパティを設定できるのは determination classification 、TruePositive に設定されている場合のみです。You can set the determination property only if classification is set to TruePositive.

要求が調整されている場合は、応答コードが 429 返されます。If your request is throttled, it will return a 429 response code. 応答本文には、新しい呼び出しを開始できる時刻が示されます。The response body will indicate the time when you can begin making new calls.

アクセス許可Permissions

この API を呼び出すには、次のいずれかのアクセス許可が必要です。One of the following permissions is required to call this API. アクセス許可の選択方法など、詳細については、「Access the Defender API Microsoft 365参照してくださいTo learn more, including how to choose permissions, see Access the Microsoft 365 Defender APIs.

アクセス許可の種類Permission type アクセス許可Permission アクセス許可の表示名Permission display name
アプリケーションApplication Incident.ReadWrite.AllIncident.ReadWrite.All すべてのインシデントの読み取りおよび書き込みRead and write all incidents
委任 (職場または学校のアカウント)Delegated (work or school account) Incident.ReadWriteIncident.ReadWrite インシデントの読み取りおよび書き込みRead and write incidents

注意

ユーザー資格情報を使用してトークンを取得する場合、ユーザーはポータルでインシデントを更新するアクセス許可を持っている必要があります。When obtaining a token using user credentials, the user needs to have permission to update the incident in the portal.

HTTP 要求HTTP request

PATCH /api/incidents/{id}

要求ヘッダーRequest headers

名前Name 種類Type 説明Description
AuthorizationAuthorization StringString ベアラー {token}。Bearer {token}. 必須Required.
Content-TypeContent-Type 文字列String application/json.application/json. 必須Required.

要求本文Request body

要求本文で、更新するフィールドの値を指定します。In the request body, supply the values for the fields that should be updated. 要求本文に含まれていない既存のプロパティは、関連する値の変更のために再計算する必要がない限り、値を維持します。Existing properties that aren't included in the request body will maintain their values, unless they have to be recalculated due to changes to related values. 最適なパフォーマンスを得る場合は、変更していない既存の値を省略する必要があります。For best performance, you should omit existing values that haven't changed.

プロパティProperty 種類Type 説明Description
statusstatus 列挙Enum インシデントの現在の状態を指定します。Specifies the current status of the incident. 使用できる値は Active Resolved 、、、および Redirected です。Possible values are: Active, Resolved, and Redirected.
assignedToassignedTo stringstring インシデントの所有者。Owner of the incident.
classificationclassification 列挙Enum インシデントの仕様。Specification of the incident. 可能な値は、UnknownFalsePositiveTruePositive です。Possible values are: Unknown, FalsePositive, TruePositive.
決定determination 列挙Enum インシデントの決定を指定します。Specifies the determination of the incident. 可能な値は、NotAvailableAptMalwareSecurityPersonnelSecurityTestingUnwantedSoftwareOther です。Possible values are: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other.
tagstags string Liststring List インシデント タグの一覧。List of Incident tags.
commentcomment stringstring インシデントに追加するコメント。Comment to be added to the incident.

応答Response

成功した場合、このメソッドはを返します 200 OKIf successful, this method returns 200 OK. 応答本文には、更新されたプロパティを持つインシデント エンティティが含まれる。The response body will contain the incident entity with updated properties. 指定した ID を持つインシデントが見つからなかった場合、メソッドはを返します 404 Not FoundIf an incident with the specified ID wasn't found, the method returns 404 Not Found.

Example

要求Request

要求の例を次に示します。Here's an example of the request.

 PATCH https://api.security.microsoft.com/api/incidents/{id}

応答Response

{
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "TruePositive",
    "determination": "Malware",
    "tags": ["Yossi's playground", "Don't mess with the Zohan"],
    "comments": [
          {
              "comment": "pen testing",
              "createdBy": "secop2@contoso.com",
              "createdTime": "2021-05-02T09:34:21.5519738Z"
          },
          {
              "comment": "valid incident",
              "createdBy": "secop2@contoso.comt",
              "createdTime": "2021-05-02T09:36:27.6652581Z"
          }
      ]
}