Microsoft Defender XDR a API de incidentes e o tipo de recurso de incidentes
Aplica-se a:
Observação
Experimente nossas novas APIs usando a API de segurança do MS Graph. Saiba mais em: Usar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Um incidente é uma coleção de alertas relacionados que ajudam a descrever um ataque. Eventos de entidades diferentes em sua organização são agregados automaticamente por Microsoft Defender XDR. Você pode usar a API de incidentes para acessar programaticamente os incidentes e alertas relacionados da sua organização.
Cotas e alocação de recursos
Você pode solicitar até 50 chamadas por minuto ou 1.500 chamadas por hora. Cada método também tem suas próprias cotas. Para obter mais informações sobre cotas específicas do método, consulte o respectivo artigo para o método que você deseja usar.
Um 429 código de resposta HTTP indica que você atingiu uma cota, seja por número de solicitações enviadas ou pelo tempo de execução alocado. O corpo da resposta inclui o tempo até que a cota que você atingiu seja redefinida.
Permissões
A API de incidentes requer diferentes tipos de permissões para cada um de seus métodos. Para obter mais informações sobre as permissões necessárias, consulte o artigo do respectivo método.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| Listar incidentes | Lista de incidentes | Obtenha uma lista de incidentes. |
| Atualizar incidente | Incidente | Atualize um incidente específico. |
| Obter incidente | Incidente | Obtenha um único incidente. |
Solicitar corpo, resposta e exemplos
Consulte os respectivos artigos de método para obter mais detalhes sobre como construir uma solicitação ou analisar uma resposta e para obter exemplos práticos.
Propriedades comuns
| Propriedade | Tipo | Descrição |
|---|---|---|
| incidentId | long | ID exclusiva do incidente. |
| redirectIncidentId | anulável longo | A ID do incidente ao qual o incidente atual foi mesclado. |
| incidentName | string | O nome do Incidente. |
| createdTime | DateTimeOffset | A data e hora (em UTC) que o Incidente foi criado. |
| lastUpdateTime | DateTimeOffset | A data e hora (em UTC) do Incidente foi atualizada pela última vez. |
| assignedTo | string | Proprietário do Incidente. |
| severity | Enum | Gravidade do incidente. Os valores possíveis são: UnSpecified, , InformationalLow, , Mediume High. |
| status | Enum | Especifica o status atual do incidente. Os valores possíveis são: Active, InProgress, Resolved, e Redirected. |
| classificação | Enum | Especificação do incidente. Os valores possíveis são: TruePositive, Informational, expected activitye FalsePositive. |
| Determinação | Enum | Especifica a determinação do incidente. Os valores de determinação possíveis para cada classificação são: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – considere alterar o nome da enumeração na api pública de acordo, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Outros). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – considere alterar o nome da enumeração na api pública de acordo e Other (Outros). Not malicious (Limpar) – considere alterar o nome da enumeração na api pública de acordo, Not enough data to validate (InsufficientData) e Other (Outros). |
| tags | lista de cadeias de caracteres | Lista de marcas de incidente. |
| comentários | Lista de comentários sobre incidentes | Objeto Comentário de Incidente contém: cadeia de comentários, cadeia de caracteres createdBy e hora da data createTime. |
| alertas | lista de alertas | Lista de alertas relacionados. Confira exemplos na documentação da API de incidentes de lista. |
Observação
Por volta de 29 de agosto de 2022, os valores de determinação de alerta com suporte anterior (Apt e SecurityPersonnel) serão preteridos e não estarão mais disponíveis por meio da API.
Artigos relacionados
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de