Aktualizowanie interfejsu API zdarzeń
Uwaga
Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.
Dotyczy:
Ważne
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Opis interfejsu API
Aktualizacje właściwości istniejącego zdarzenia. Właściwości możliwe do zaktualizowania to: status, determination, classification, assignedTo, , tagsi comments.
Limity przydziału, alokacja zasobów i inne ograniczenia
- Możesz wykonać maksymalnie 50 wywołań na minutę lub 1500 wywołań na godzinę, zanim osiągniesz próg ograniczania przepustowości.
- Właściwość można ustawić tylko wtedy
determination, gdyclassificationustawiono wartość TruePositive.
Jeśli żądanie jest ograniczone, zwróci 429 kod odpowiedzi. Treść odpowiedzi wskazuje czas rozpoczęcia wykonywania nowych wywołań.
Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Uzyskiwanie dostępu do interfejsów API Microsoft 365 Defender.
| Typ uprawnień | Pozwolenie | Nazwa wyświetlana uprawnień |
|---|---|---|
| Aplikacja | Incident.ReadWrite.All | Odczytywanie i zapisywanie wszystkich zdarzeń |
| Delegowane (konto służbowe) | Incident.ReadWrite | Odczytywanie i zapisywanie zdarzeń |
Uwaga
Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika użytkownik musi mieć uprawnienia do aktualizowania zdarzenia w portalu.
Żądanie HTTP
PATCH /api/incidents/{id}
Nagłówki żądań
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Autoryzacja | Ciąg | Element nośny {token}. Wymagane. |
| Typ zawartości | Ciąg | application/json. Wymagane. |
Treść żądania
W treści żądania podaj wartości pól, które powinny zostać zaktualizowane. Istniejące właściwości, które nie są uwzględnione w treści żądania, zachowają swoje wartości, chyba że należy je ponownie obliczyć z powodu zmian powiązanych wartości. Aby uzyskać najlepszą wydajność, należy pominąć istniejące wartości, które nie uległy zmianie.
| Własność | Wpisać | Opis |
|---|---|---|
| stan | Wyliczenie | Określa bieżący stan zdarzenia. Możliwe wartości to: Active, Resolved, i Redirected. |
| assignedTo | struna | Właściciel zdarzenia. |
| klasyfikacja | Wyliczenie | Specyfikacja zdarzenia. Możliwe wartości to: Unknown, FalsePositive, TruePositive. |
| determinacja | Wyliczenie | Określa określenie zdarzenia. Możliwe wartości to: , , , , , SecurityTesting, UnwantedSoftware. Other``SecurityPersonnel``Malware``Apt``NotAvailable |
| Tagi | lista ciągów | Lista tagów zdarzenia. |
| komentarz | struna | Komentarz do dodania do zdarzenia. |
Uwaga
Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów ("Apt" i "SecurityPersonnel") będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.
Odpowiedź
Jeśli to się powiedzie, ta metoda zwróci wartość 200 OK. Treść odpowiedzi będzie zawierać jednostkę zdarzenia ze zaktualizowanymi właściwościami. Jeśli nie znaleziono zdarzenia o określonym identyfikatorze, metoda zwraca wartość 404 Not Found.
Przykład
Przykład żądania
Oto przykład żądania.
PATCH https://api.security.microsoft.com/api/incidents/{id}
Przykład odpowiedzi
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "TruePositive",
"determination": "Malware",
"tags": ["Yossi's playground", "Don't mess with the Zohan"],
"comments": [
{
"comment": "pen testing",
"createdBy": "secop2@contoso.com",
"createdTime": "2021-05-02T09:34:21.5519738Z"
},
{
"comment": "valid incident",
"createdBy": "secop2@contoso.comt",
"createdTime": "2021-05-02T09:36:27.6652581Z"
}
]
}