Microsoft 365 Defender API de incidentes e o tipo de recurso incidentes

Nota

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como pode avaliar e pilotar a Microsoft 365 Defender.

Aplica-se a:

Importante

Algumas informações referem-se a produtos pré-lançados que podem ser modificados substancialmente antes do seu lançamento comercial. A Microsoft não oferece garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Um incidente é uma coleção de alertas relacionados que ajudam a descrever um ataque. Os eventos de diferentes entidades na sua organização são automaticamente agregados por Microsoft 365 Defender. Pode utilizar a API de incidentes para aceder programaticamente aos incidentes e alertas relacionados da sua organização.

Quotas e alocação de recursos

Pode pedir até 50 chamadas por minuto ou 1500 chamadas por hora. Cada método também tem as suas próprias quotas. Para obter mais informações sobre quotas específicas do método, consulte o respetivo artigo sobre o método que pretende utilizar.

Um 429 código de resposta HTTP indica que atingiu uma quota, seja pelo número de pedidos enviados ou pelo tempo de execução atribuída. O corpo da resposta incluirá a hora até que a quota que atingiu seja reposta.

Permissões

A API de Incidentes requer diferentes tipos de permissões para cada um dos seus métodos. Para obter mais informações sobre as permissões necessárias, consulte o respetivo artigo de método.

Métodos

Método Tipo de Devolução Descrição
Incidentes de lista Lista de incidentes Obter uma lista de incidentes.
Incidente de atualização Incidente Atualizar um incidente específico.
Obter incidente Incidente Obter um único incidente.

Pedir corpo, resposta e exemplos

Consulte os respetivos artigos de método para obter mais detalhes sobre como construir um pedido ou analisar uma resposta, e para obter exemplos práticos.

Propriedades comuns

Propriedade Tipo Descrição
incidentId longo ID exclusivo de incidentes.
redirectIncidentId anulado por longo O ID de Incidente ao incidente atual foi intercalado.
incidentName cadeia O nome do Incidente.
createdTime DateTimeOffset A data e hora (em UTC) do Incidente foi criado.
lastUpdateTime DateTimeOffset A data e hora (em UTC) do Incidente foi atualizado pela última vez.
assignedTo cadeia Proprietário do Incidente.
gravidade Enum Gravidade do Incidente. Os valores possíveis são: UnSpecified, Informational, Low, Mediume High.
estado Enum Especifica o estado atual do incidente. Os valores possíveis são: Active, InProgress, Resolvede Redirected.
classificação Enum Especificação do incidente. Os valores possíveis são: Unknown, FalsePositive, TruePositive.
determinação Enum Especifica a determinação do incidente. Os valores possíveis são: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, . Other
etiquetas Lista de cadeias Lista de Etiquetas de Incidente.
comentários Lista de comentários de incidentes O objeto Comentário de Incidente contém: cadeia de comentário, criadaPor cadeia e criar Hora da hora.
alertas Lista de Alertas Lista de alertas relacionados. Consulte exemplos na documentação da API de Listar incidentes .