Microsoft 365 Defender API zdarzeń i typ zasobu zdarzenia
Uwaga
Chcesz doświadczyć Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.
Dotyczy:
Ważne
Niektóre informacje odnoszą się do wstępnie wypuszczonych produktów, które mogą zostać znacząco zmodyfikowane przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Zdarzenie to zbiór powiązanych alertów, które pomagają opisać atak. Zdarzenia z różnych obiektów w organizacji są automatycznie agregowane według Microsoft 365 Defender. Interfejs API zdarzeń umożliwia programowy dostęp do zdarzeń organizacji i powiązanych alertów.
Przydziały i alokacja zasobów
Możesz poprosić o maksymalnie 50 połączeń na minutę lub 1500 połączeń na godzinę. Każda metoda ma również własne przydziały. Aby uzyskać więcej informacji na temat przydziałów specyficznych dla metody, zobacz odpowiedni artykuł, w którym ojej metody chcesz użyć.
Kod 429
odpowiedzi HTTP oznacza, że osiągnięto przydział według liczby wysłanych żądań lub przydziału czasu bieżącego. Treść odpowiedzi będzie zawierać informacje o czasie, po osiągnięciu limitu przydziału.
Uprawnienia
Interfejs API zdarzeń wymaga różnego rodzaju uprawnień dla każdej z jego metod. Aby uzyskać więcej informacji o wymaganych uprawnieniach, zobacz artykuł odpowiedniej metody.
Metody
Metoda | Zwracany typ | Opis |
---|---|---|
Lista zdarzeń | Lista zdarzeń | Uzyskiwanie listy zdarzeń. |
Aktualizacja zdarzenia | Zdarzenie | Zaktualizuj zdarzenie. |
Pobierz zdarzenie | Zdarzenie | Zajmij się jednym zdarzeniem. |
Treść wniosku, odpowiedź i przykłady
Więcej informacji na temat konstruowania żądania lub analizowania odpowiedzi oraz przykładów praktycznych znajdziesz w odpowiednich artykułach dotyczących metod.
Właściwości wspólne
Właściwość | Wpisać | Opis |
---|---|---|
incidentId | długo | Unikatowy identyfikator zdarzenia. |
redirectIncidentId | null long | Identyfikator zdarzenia, z który zostało scalone bieżące zdarzenie. |
nazwa_zdarzenia | ciąg | Nazwa zdarzenia. |
createdTime | DateTimeOffset | Data i godzina utworzenia zdarzenia (w czasie UTC). |
lastUpdateTime | DateTimeOffset | Data i godzina (w czasie UTC) Ostatnia aktualizacja zdarzenia. |
assignedTo | ciąg | Właściciel zdarzenia. |
ważność | Wyli roku | Ważność zdarzenia. Dopuszczalne wartości to: UnSpecified , Informational , Low , Medium i High . |
stan | Wyli roku | Określa bieżący stan zdarzenia. Dopuszczalne wartości to: Active , InProgress , Resolved i Redirected . |
klasyfikacja | Wyli roku | Specyfikacja zdarzenia. Dopuszczalne wartości: Unknown , FalsePositive , TruePositive . |
wyznaczanie | Wyli roku | Określa określenie zdarzenia. Dopuszczalne wartości to: NotAvailable , Apt , Malware , SecurityPersonnel``````SecurityTesting , UnwantedSoftware , . Other |
tagi | ciąg Lista | Lista tagów zdarzeń. |
komentarze | Lista komentarzy zdarzeń | Obiekt Komentarz zdarzenia zawiera: ciąg komentarza, utworzonyWłaściwą i createTime date time. |
alerty | Lista alertów | Lista powiązanych alertów. Zobacz przykłady w dokumentacji interfejsu API zdarzeń listy . |