Microsoft 365 Defender API zdarzeń i typ zasobu zdarzenia

Uwaga

Chcesz doświadczyć Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

Ważne

Niektóre informacje odnoszą się do wstępnie wypuszczonych produktów, które mogą zostać znacząco zmodyfikowane przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Zdarzenie to zbiór powiązanych alertów, które pomagają opisać atak. Zdarzenia z różnych obiektów w organizacji są automatycznie agregowane według Microsoft 365 Defender. Interfejs API zdarzeń umożliwia programowy dostęp do zdarzeń organizacji i powiązanych alertów.

Przydziały i alokacja zasobów

Możesz poprosić o maksymalnie 50 połączeń na minutę lub 1500 połączeń na godzinę. Każda metoda ma również własne przydziały. Aby uzyskać więcej informacji na temat przydziałów specyficznych dla metody, zobacz odpowiedni artykuł, w którym ojej metody chcesz użyć.

Kod 429 odpowiedzi HTTP oznacza, że osiągnięto przydział według liczby wysłanych żądań lub przydziału czasu bieżącego. Treść odpowiedzi będzie zawierać informacje o czasie, po osiągnięciu limitu przydziału.

Uprawnienia

Interfejs API zdarzeń wymaga różnego rodzaju uprawnień dla każdej z jego metod. Aby uzyskać więcej informacji o wymaganych uprawnieniach, zobacz artykuł odpowiedniej metody.

Metody

Metoda Zwracany typ Opis
Lista zdarzeń Lista zdarzeń Uzyskiwanie listy zdarzeń.
Aktualizacja zdarzenia Zdarzenie Zaktualizuj zdarzenie.
Pobierz zdarzenie Zdarzenie Zajmij się jednym zdarzeniem.

Treść wniosku, odpowiedź i przykłady

Więcej informacji na temat konstruowania żądania lub analizowania odpowiedzi oraz przykładów praktycznych znajdziesz w odpowiednich artykułach dotyczących metod.

Właściwości wspólne

Właściwość Wpisać Opis
incidentId długo Unikatowy identyfikator zdarzenia.
redirectIncidentId null long Identyfikator zdarzenia, z który zostało scalone bieżące zdarzenie.
nazwa_zdarzenia ciąg Nazwa zdarzenia.
createdTime DateTimeOffset Data i godzina utworzenia zdarzenia (w czasie UTC).
lastUpdateTime DateTimeOffset Data i godzina (w czasie UTC) Ostatnia aktualizacja zdarzenia.
assignedTo ciąg Właściciel zdarzenia.
ważność Wyli roku Ważność zdarzenia. Dopuszczalne wartości to: UnSpecified, Informational, Low, Mediumi High.
stan Wyli roku Określa bieżący stan zdarzenia. Dopuszczalne wartości to: Active, InProgress, Resolvedi Redirected.
klasyfikacja Wyli roku Specyfikacja zdarzenia. Dopuszczalne wartości: Unknown, FalsePositive, TruePositive.
wyznaczanie Wyli roku Określa określenie zdarzenia. Dopuszczalne wartości to: NotAvailable, Apt, Malware, SecurityPersonnel``````SecurityTesting, UnwantedSoftware, . Other
tagi ciąg Lista Lista tagów zdarzeń.
komentarze Lista komentarzy zdarzeń Obiekt Komentarz zdarzenia zawiera: ciąg komentarza, utworzonyWłaściwą i createTime date time.
alerty Lista alertów Lista powiązanych alertów. Zobacz przykłady w dokumentacji interfejsu API zdarzeń listy .