Microsoft 365 Defender incident-API och resurstypen incidenter

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

En incident är en samling relaterade aviseringar som beskriver en attack. Händelser från olika enheter i organisationen aggregeras automatiskt av Microsoft 365 Defender. Du kan använda incident-API:t för att programmässigt få åtkomst till organisationens incidenter och relaterade aviseringar.

Kvoter och resurstilldelning

Du kan begära upp till 50 samtal per minut eller 1 500 samtal per timme. Varje metod har också egna kvoter. Mer information om metodspecifika kvoter finns i respektive artikel för den metod du vill använda.

En HTTP-svarskod anger att du har nått en kvot, antingen genom antal begäranden som skickas 429 eller med tilldelad löpande tid. Svarstexten tar med tiden tills kvoten du har nått återställs.

Behörigheter

För incident-API:t krävs olika typer av behörigheter för var och en av dess metoder. Mer information om obligatoriska behörigheter finns i respektive metods artikel.

Metoder

Metod Returtyp Beskrivning
Lista incidenter Incidentlista Få en lista över alla incidenter.
Uppdatera incident Incident Uppdatera en specifik händelse.
Hämta incident Incident Få en enda incident.

Begärans brödtext, svar och exempel

Mer information om hur du skapar en begäran eller parsar ett svar samt praktiska exempel finns i respektive metodartiklar.

Gemensamma egenskaper

Egenskap Typ Beskrivning
incidentId long Unikt ID för incidenter.
redirectIncidentId nullbar long Det incident-ID som den aktuella incidenten kopplades till.
incidentName sträng Namnet på incidenten.
createdTime DateTimeOffset Datum och tid (i UTC) som incidenten skapades.
lastUpdateTime DateTimeOffset Datum och tid (i UTC) incidenten uppdaterades senast.
assignedTo sträng Ägaren till händelsen.
allvarlighetsgrad Uppräkning Incidentens allvarlighetsgrad. Möjliga värden är: UnSpecified , , , och Informational Low Medium High .
status Uppräkning Anger incidentens aktuella status. Möjliga värden är: Active InProgress , , och Resolved Redirected .
klassificering Uppräkning Specifikation för incidenten. Möjliga värden är: Unknown , FalsePositive , TruePositive .
determination Uppräkning Anger incidentens avgörande. Möjliga värden är: NotAvailable , , , , , , Apt Malware SecurityPersonnel SecurityTesting UnwantedSoftware Other .
taggar stränglista Lista över incidenttaggar.
kommentarer Lista över incidentkommentarer Incidentkommentarsobjekt innehåller: kommentarssträng, createdBy-sträng och createTime-datumtid.
aviseringar Aviseringslista Lista med relaterade aviseringar. Se exempel i dokumentationen för API för listincidenter.