Aktualizowanie interfejsu API zdarzeń

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

Ważne

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Opis interfejsu API

Aktualizacje właściwości istniejącego zdarzenia. Właściwości możliwe do zaktualizowania to: status, determination, classification, assignedTo, , tagsi comments.

Limity przydziału, alokacja zasobów i inne ograniczenia

  1. Możesz wykonać maksymalnie 50 wywołań na minutę lub 1500 wywołań na godzinę, zanim osiągniesz próg ograniczania przepustowości.
  2. Właściwość można ustawić tylko wtedy determination , gdy classification ustawiono wartość TruePositive.

Jeśli żądanie jest ograniczone, zwróci 429 kod odpowiedzi. Treść odpowiedzi wskazuje czas rozpoczęcia wykonywania nowych wywołań.

Uprawnienia

Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Uzyskiwanie dostępu do interfejsów API Microsoft 365 Defender.

Typ uprawnień Pozwolenie Nazwa wyświetlana uprawnień
Aplikacja Incident.ReadWrite.All Odczytywanie i zapisywanie wszystkich zdarzeń
Delegowane (konto służbowe) Incident.ReadWrite Odczytywanie i zapisywanie zdarzeń

Uwaga

Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika użytkownik musi mieć uprawnienia do aktualizowania zdarzenia w portalu.

Żądanie HTTP

PATCH /api/incidents/{id}

Nagłówki żądań

Name (Nazwa) Wpisać Opis
Autoryzacja Ciąg Element nośny {token}. Wymagane.
Typ zawartości Ciąg application/json. Wymagane.

Treść żądania

W treści żądania podaj wartości pól, które powinny zostać zaktualizowane. Istniejące właściwości, które nie są uwzględnione w treści żądania, zachowają swoje wartości, chyba że należy je ponownie obliczyć z powodu zmian powiązanych wartości. Aby uzyskać najlepszą wydajność, należy pominąć istniejące wartości, które nie uległy zmianie.

Własność Wpisać Opis
stan Wyliczenie Określa bieżący stan zdarzenia. Możliwe wartości to: Active, Resolved, i Redirected.
assignedTo struna Właściciel zdarzenia.
klasyfikacja Wyliczenie Specyfikacja zdarzenia. Możliwe wartości to: Unknown, FalsePositive, TruePositive.
determinacja Wyliczenie Określa określenie zdarzenia. Możliwe wartości to: , , , , , SecurityTesting, UnwantedSoftware. Other``SecurityPersonnel``Malware``Apt``NotAvailable
Tagi lista ciągów Lista tagów zdarzenia.
komentarz struna Komentarz do dodania do zdarzenia.

Uwaga

Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów ("Apt" i "SecurityPersonnel") będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.

Odpowiedź

Jeśli to się powiedzie, ta metoda zwróci wartość 200 OK. Treść odpowiedzi będzie zawierać jednostkę zdarzenia ze zaktualizowanymi właściwościami. Jeśli nie znaleziono zdarzenia o określonym identyfikatorze, metoda zwraca wartość 404 Not Found.

Przykład

Przykład żądania

Oto przykład żądania.

 PATCH https://api.security.microsoft.com/api/incidents/{id}

Przykład odpowiedzi

{
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "TruePositive",
    "determination": "Malware",
    "tags": ["Yossi's playground", "Don't mess with the Zohan"],
    "comments": [
          {
              "comment": "pen testing",
              "createdBy": "secop2@contoso.com",
              "createdTime": "2021-05-02T09:34:21.5519738Z"
          },
          {
              "comment": "valid incident",
              "createdBy": "secop2@contoso.comt",
              "createdTime": "2021-05-02T09:36:27.6652581Z"
          }
      ]
}