Interfejs API aktualizacji zdarzeń

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

Ważne

Niektóre informacje odnoszą się do wstępnie wypuszczonych produktów, które mogą zostać znacząco zmodyfikowane przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Opis interfejsu API

Aktualizuje właściwości istniejącego zdarzenia. Właściwości, które można ujednolić, to: status, determination``classification, assignedTo, tagsi comments.

Przydziały, alokacja zasobów i inne ograniczenia

  1. Zanim przekroczysz próg ograniczania, możesz wykonać do 50 połączeń na minutę lub 1500 połączeń na godzinę.
  2. Właściwość można ustawić tylko determination wtedy, gdy jest classification ustawiona wartość TruePositive (Prawda).

Jeśli Twoje żądanie jest ograniczone, zwraca ono kod 429 odpowiedzi. Treść odpowiedzi będzie wskazywać, kiedy możesz zacząć dzwonić.

Uprawnienia

Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Uzyskiwanie dostępu do Microsoft 365 Defender API.

Typ uprawnień Uprawnienie Nazwa wyświetlana uprawnień
Aplikacja Incident.ReadWrite.All Czytanie i pisanie wszystkich zdarzeń
Delegowane (konto służbowe) Incident.ReadWrite Zdarzenia przeczytania i pisania

Uwaga

Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika użytkownik musi mieć uprawnienia do aktualizowania zdarzenia w portalu.

Żądanie HTTP

PATCH /api/incidents/{id}

Żądaj nagłówków

Name (Nazwa) Wpisać Opis
Autoryzacja Ciąg Użytkownik {token}. Wymagane.
Typ zawartości Ciąg application/json. Wymagane.

Treść wniosku

W treści żądania podać wartości pól, które mają zostać zaktualizowane. Istniejące właściwości, które nie są uwzględnione w treści żądania, zachowają swoje wartości, chyba że muszą zostać ponownie obliczone ze względu na zmiany wartości pokrewnych. Aby uzyskać najlepszą wydajność, należy pominąć istniejące wartości, które nie zostały zmienione.

Właściwość Wpisać Opis
stan Wyli roku Określa bieżący stan zdarzenia. Dopuszczalne wartości to: Active, Resolvedi Redirected.
assignedTo ciąg Właściciel zdarzenia.
klasyfikacja Wyli roku Specyfikacja zdarzenia. Dopuszczalne wartości: Unknown, FalsePositive, TruePositive.
wyznaczanie Wyli roku Określa określenie zdarzenia. Dopuszczalne wartości to: NotAvailable, Apt, Malware, SecurityPersonnel``SecurityTesting, UnwantedSoftware, . Other
tagi ciąg Lista Lista tagów zdarzeń.
komentarz ciąg Komentarz do dodania do zdarzenia.

Odpowiedź

Jeśli ta metoda się powiedzie, ta metoda zwróci wartość 200 OK. Treść odpowiedzi będzie zawierać jednostkę zdarzenia ze zaktualizowanymi właściwościami. Jeśli nie zostanie znalezione zdarzenie o określonym identyfikatorze, metoda zwróci wartość 404 Not Found.

Przykład

Przykład żądania

Oto przykład prośby.

 PATCH https://api.security.microsoft.com/api/incidents/{id}

Przykład odpowiedzi

{
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "TruePositive",
    "determination": "Malware",
    "tags": ["Yossi's playground", "Don't mess with the Zohan"],
    "comments": [
          {
              "comment": "pen testing",
              "createdBy": "secop2@contoso.com",
              "createdTime": "2021-05-02T09:34:21.5519738Z"
          },
          {
              "comment": "valid incident",
              "createdBy": "secop2@contoso.comt",
              "createdTime": "2021-05-02T09:36:27.6652581Z"
          }
      ]
}