Microsoft 365 Defender API zdarzeń i typ zasobu zdarzenia
Uwaga
Chcesz doświadczyć Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.
Dotyczy:
Ważne
Niektóre informacje odnoszą się do wstępnie wypuszczonych produktów, które mogą zostać znacząco zmodyfikowane przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Zdarzenie to zbiór powiązanych alertów, które pomagają opisać atak. Zdarzenia z różnych obiektów w organizacji są automatycznie agregowane według Microsoft 365 Defender. Interfejs API zdarzeń umożliwia programowy dostęp do zdarzeń organizacji i powiązanych alertów.
Przydziały i alokacja zasobów
Możesz poprosić o maksymalnie 50 połączeń na minutę lub 1500 połączeń na godzinę. Każda metoda ma również własne przydziały. Aby uzyskać więcej informacji na temat przydziałów specyficznych dla metody, zobacz odpowiedni artykuł, w którym ojej metody chcesz użyć.
Kod 429 odpowiedzi HTTP oznacza, że osiągnięto przydział według liczby wysłanych żądań lub przydziału czasu bieżącego. Treść odpowiedzi będzie zawierać informacje o czasie, po osiągnięciu limitu przydziału.
Uprawnienia
Interfejs API zdarzeń wymaga różnego rodzaju uprawnień dla każdej z jego metod. Aby uzyskać więcej informacji o wymaganych uprawnieniach, zobacz artykuł odpowiedniej metody.
Metody
| Metoda | Zwracany typ | Opis |
|---|---|---|
| Lista zdarzeń | Lista zdarzeń | Uzyskiwanie listy zdarzeń. |
| Aktualizacja zdarzenia | Zdarzenie | Zaktualizuj zdarzenie. |
| Pobierz zdarzenie | Zdarzenie | Zajmij się jednym zdarzeniem. |
Treść wniosku, odpowiedź i przykłady
Więcej informacji na temat konstruowania żądania lub analizowania odpowiedzi oraz przykładów praktycznych znajdziesz w odpowiednich artykułach dotyczących metod.
Właściwości wspólne
| Właściwość | Wpisać | Opis |
|---|---|---|
| incidentId | długo | Unikatowy identyfikator zdarzenia. |
| redirectIncidentId | null long | Identyfikator zdarzenia, z który zostało scalone bieżące zdarzenie. |
| nazwa_zdarzenia | ciąg | Nazwa zdarzenia. |
| createdTime | DateTimeOffset | Data i godzina utworzenia zdarzenia (w czasie UTC). |
| lastUpdateTime | DateTimeOffset | Data i godzina (w czasie UTC) Ostatnia aktualizacja zdarzenia. |
| assignedTo | ciąg | Właściciel zdarzenia. |
| ważność | Wyli roku | Ważność zdarzenia. Dopuszczalne wartości to: UnSpecified, Informational, Low, Mediumi High. |
| stan | Wyli roku | Określa bieżący stan zdarzenia. Dopuszczalne wartości to: Active, InProgress, Resolvedi Redirected. |
| klasyfikacja | Wyli roku | Specyfikacja zdarzenia. Dopuszczalne wartości: Unknown, FalsePositive, TruePositive. |
| wyznaczanie | Wyli roku | Określa określenie zdarzenia. Dopuszczalne wartości to: NotAvailable, Apt, Malware, SecurityPersonnel``````SecurityTesting, UnwantedSoftware, . Other |
| tagi | ciąg Lista | Lista tagów zdarzeń. |
| komentarze | Lista komentarzy zdarzeń | Obiekt Komentarz zdarzenia zawiera: ciąg komentarza, utworzonyWłaściwą i createTime date time. |
| alerty | Lista alertów | Lista powiązanych alertów. Zobacz przykłady w dokumentacji interfejsu API zdarzeń listy . |