Interfejs API aktualizacji zdarzeń
Uwaga
Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.
Dotyczy:
Ważne
Niektóre informacje odnoszą się do wstępnie wypuszczonych produktów, które mogą zostać znacząco zmodyfikowane przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Opis interfejsu API
Aktualizuje właściwości istniejącego zdarzenia. Właściwości, które można ujednolić, to: status, determination``classification, assignedTo, tagsi comments.
Przydziały, alokacja zasobów i inne ograniczenia
- Zanim przekroczysz próg ograniczania, możesz wykonać do 50 połączeń na minutę lub 1500 połączeń na godzinę.
- Właściwość można ustawić tylko
determinationwtedy, gdy jestclassificationustawiona wartość TruePositive (Prawda).
Jeśli Twoje żądanie jest ograniczone, zwraca ono kod 429 odpowiedzi. Treść odpowiedzi będzie wskazywać, kiedy możesz zacząć dzwonić.
Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Uzyskiwanie dostępu do Microsoft 365 Defender API.
| Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
|---|---|---|
| Aplikacja | Incident.ReadWrite.All | Czytanie i pisanie wszystkich zdarzeń |
| Delegowane (konto służbowe) | Incident.ReadWrite | Zdarzenia przeczytania i pisania |
Uwaga
Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika użytkownik musi mieć uprawnienia do aktualizowania zdarzenia w portalu.
Żądanie HTTP
PATCH /api/incidents/{id}
Żądaj nagłówków
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Autoryzacja | Ciąg | Użytkownik {token}. Wymagane. |
| Typ zawartości | Ciąg | application/json. Wymagane. |
Treść wniosku
W treści żądania podać wartości pól, które mają zostać zaktualizowane. Istniejące właściwości, które nie są uwzględnione w treści żądania, zachowają swoje wartości, chyba że muszą zostać ponownie obliczone ze względu na zmiany wartości pokrewnych. Aby uzyskać najlepszą wydajność, należy pominąć istniejące wartości, które nie zostały zmienione.
| Właściwość | Wpisać | Opis |
|---|---|---|
| stan | Wyli roku | Określa bieżący stan zdarzenia. Dopuszczalne wartości to: Active, Resolvedi Redirected. |
| assignedTo | ciąg | Właściciel zdarzenia. |
| klasyfikacja | Wyli roku | Specyfikacja zdarzenia. Dopuszczalne wartości: Unknown, FalsePositive, TruePositive. |
| wyznaczanie | Wyli roku | Określa określenie zdarzenia. Dopuszczalne wartości to: NotAvailable, Apt, Malware, SecurityPersonnel``SecurityTesting, UnwantedSoftware, . Other |
| tagi | ciąg Lista | Lista tagów zdarzeń. |
| komentarz | ciąg | Komentarz do dodania do zdarzenia. |
Odpowiedź
Jeśli ta metoda się powiedzie, ta metoda zwróci wartość 200 OK. Treść odpowiedzi będzie zawierać jednostkę zdarzenia ze zaktualizowanymi właściwościami. Jeśli nie zostanie znalezione zdarzenie o określonym identyfikatorze, metoda zwróci wartość 404 Not Found.
Przykład
Przykład żądania
Oto przykład prośby.
PATCH https://api.security.microsoft.com/api/incidents/{id}
Przykład odpowiedzi
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "TruePositive",
"determination": "Malware",
"tags": ["Yossi's playground", "Don't mess with the Zohan"],
"comments": [
{
"comment": "pen testing",
"createdBy": "secop2@contoso.com",
"createdTime": "2021-05-02T09:34:21.5519738Z"
},
{
"comment": "valid incident",
"createdBy": "secop2@contoso.comt",
"createdTime": "2021-05-02T09:36:27.6652581Z"
}
]
}