Microsoft 365 Defender incident-API och resurstypen incidenter
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
En incident är en samling relaterade aviseringar som beskriver en attack. Händelser från olika enheter i organisationen aggregeras automatiskt av Microsoft 365 Defender. Du kan använda incident-API:t för att programmässigt få åtkomst till organisationens incidenter och relaterade aviseringar.
Kvoter och resurstilldelning
Du kan begära upp till 50 samtal per minut eller 1 500 samtal per timme. Varje metod har också egna kvoter. Mer information om metodspecifika kvoter finns i respektive artikel för den metod du vill använda.
En HTTP-svarskod anger att du har nått en kvot, antingen genom antal begäranden som skickas 429 eller med tilldelad löpande tid. Svarstexten tar med tiden tills kvoten du har nått återställs.
Behörigheter
För incident-API:t krävs olika typer av behörigheter för var och en av dess metoder. Mer information om obligatoriska behörigheter finns i respektive metods artikel.
Metoder
| Metod | Returtyp | Beskrivning |
|---|---|---|
| Lista incidenter | Incidentlista | Få en lista över alla incidenter. |
| Uppdatera incident | Incident | Uppdatera en specifik händelse. |
| Hämta incident | Incident | Få en enda incident. |
Begärans brödtext, svar och exempel
Mer information om hur du skapar en begäran eller parsar ett svar samt praktiska exempel finns i respektive metodartiklar.
Gemensamma egenskaper
| Egenskap | Typ | Beskrivning |
|---|---|---|
| incidentId | long | Unikt ID för incidenter. |
| redirectIncidentId | nullbar long | Det incident-ID som den aktuella incidenten kopplades till. |
| incidentName | sträng | Namnet på incidenten. |
| createdTime | DateTimeOffset | Datum och tid (i UTC) som incidenten skapades. |
| lastUpdateTime | DateTimeOffset | Datum och tid (i UTC) incidenten uppdaterades senast. |
| assignedTo | sträng | Ägaren till händelsen. |
| allvarlighetsgrad | Uppräkning | Incidentens allvarlighetsgrad. Möjliga värden är: UnSpecified , , , och Informational Low Medium High . |
| status | Uppräkning | Anger incidentens aktuella status. Möjliga värden är: Active InProgress , , och Resolved Redirected . |
| klassificering | Uppräkning | Specifikation för incidenten. Möjliga värden är: Unknown , FalsePositive , TruePositive . |
| determination | Uppräkning | Anger incidentens avgörande. Möjliga värden är: NotAvailable , , , , , , Apt Malware SecurityPersonnel SecurityTesting UnwantedSoftware Other . |
| taggar | stränglista | Lista över incidenttaggar. |
| kommentarer | Lista över incidentkommentarer | Incidentkommentarsobjekt innehåller: kommentarssträng, createdBy-sträng och createTime-datumtid. |
| aviseringar | Aviseringslista | Lista med relaterade aviseringar. Se exempel i dokumentationen för API för listincidenter. |