인시던트 API 업데이트

적용 대상:

• Microsoft Defender XDR

참고

MS Graph 보안 API를 사용하여 새 API를 사용해 보세요. 자세한 정보: Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn. MS Graph 보안 API를 사용하는 새 업데이트 인시던 트 API에 대한 자세한 내용은 인시던트 업데이트를 참조하세요.

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

API 설명

기존 인시던트 속성을 업데이트. 업다이블 속성은 , , determination, , 및 입니다commentsstatus. tagsassignedToclassification

할당량, 리소스 할당 및 기타 제약 조건

1. 제한 임계값에 도달하기 전에 분당 최대 50회 또는 시간당 1,500건의 호출을 수행할 수 있습니다.
2. 이 TruePositive로 설정된 경우에만 classification 속성을 설정할 determination 수 있습니다.

요청이 제한되면 응답 코드가 429 반환됩니다. 응답 본문은 새 호출을 시작할 수 있는 시간을 나타냅니다.

권한

이 API를 호출하려면 다음 권한 중 하나가 필요합니다. 사용 권한을 선택하는 방법을 포함하여 자세한 내용은 Microsoft Defender XDR API 액세스를 참조하세요.

사용 권한 유형	사용 권한	사용 권한 표시 이름
응용 프로그램	Incident.ReadWrite.All	모든 인시던트 읽기 및 쓰기
위임됨(회사 또는 학교 계정)	Incident.ReadWrite	인시던트 읽기 및 쓰기

참고

사용자 자격 증명을 사용하여 토큰을 가져올 때 사용자에게 포털에서 인시던트 업데이트 권한이 있어야 합니다.

HTTP 요청

PATCH /api/incidents/{id}

요청 헤더

이름	유형	설명
권한 부여	String	전달자 {token}. 필수입니다.
Content-Type	String	application/json. 필수입니다.

요청 본문

요청 본문에서 업데이트해야 하는 필드의 값을 제공합니다. 요청 본문에 포함되지 않은 기존 속성은 관련 값의 변경으로 인해 다시 계산해야 하는 경우가 아니면 해당 값을 유지 관리합니다. 최상의 성능을 위해 변경되지 않은 기존 값을 생략해야 합니다.

속성	유형	설명
상태	열거형	인시던트 현재 상태 지정합니다. 가능한 값은 , , Resolved및 입니다ActiveRedirected. InProgress
assignedTo	문자열	인시던트 소유자입니다.
분류	열거형	인시던트 사양입니다. 가능한 값은 (True positive), InformationalExpectedActivity (Informational, Expected activity) 및 FalsePositive (False Positive)입니다 TruePositive .
결정	열거형	인시던트 결정을 지정합니다. 각 분류에 대해 가능한 결정 값은 다음과 같습니다. True positive: MultiStagedAttack (다중 단계적 공격), MaliciousUserActivity (악의적인 사용자 활동), CompromisedAccount (손상된 계정) – 그에 따라 Malware 퍼블릭 API에서 열거형 이름을 변경하는 것이 좋습니다. (맬웨어), Phishing (피싱), (원치 않는 소프트웨어) UnwantedSoftware 및 Other (기타). 정보, 예상 활동:SecurityTesting (보안 테스트), LineOfBusinessApplication (기간 업무 애플리케이션), ConfirmedActivity (확인된 작업) - 그에 따라 퍼블릭 API에서 열거형 이름을 변경하는 것이 좋습니다. 및 Other (기타). 가양성:Clean (악성이 아님) - 그에 따라 NoEnoughDataToValidate 퍼블릭 API에서 열거형 이름을 변경하는 것이 좋습니다(유효성을 검사할 데이터가 충분하지 않음) 및 Other (기타).
태그	문자열 목록	인시던트 태그 목록입니다.
코멘트	문자열	인시던트에 추가할 주석입니다.

참고

2022년 8월 29일 경에는 이전에 지원되었던 경고 결정 값('Apt' 및 'SecurityPersonnel')이 더 이상 사용되지 않으며 API를 통해 더 이상 사용할 수 없습니다.

응답

성공하면 이 메서드는 를 반환합니다 200 OK. 응답 본문에는 업데이트된 속성이 있는 인시던트 엔터티가 포함됩니다. 지정된 ID를 가진 인시던트를 찾을 수 없는 경우 메서드는 를 반환합니다 404 Not Found.

예제

요청 예제

다음은 요청의 예입니다.

 PATCH https://api.security.microsoft.com/api/incidents/{id}

요청 데이터 예제

{
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "TruePositive",
    "determination": "Malware",
    "tags": ["Yossi's playground", "Don't mess with the Zohan"],
    "comments": [
          {
              "comment": "pen testing",
              "createdBy": "secop2@contoso.com",
              "createdTime": "2021-05-02T09:34:21.5519738Z"
          },
          {
              "comment": "valid incident",
              "createdBy": "secop2@contoso.comt",
              "createdTime": "2021-05-02T09:36:27.6652581Z"
          }
      ]
}

관련 문서

• Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn

• Microsoft Defender XDR API 액세스

• API 제한 및 라이선스에 대해 알아보기

• 오류 코드 이해

• 인시던트 API

• 인시던트 열거

• 인시던트 개요

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.