API för Microsoft 365 Defender-incidenter och resurstypen för incidenterMicrosoft 365 Defender incidents API and the incident resource type

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt.Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.Microsoft makes no warranties, express or implied, with respect to the information provided here.

En incident är en samling relaterade aviseringar som beskriver en attack.An incident is a collection of related alerts that help describe an attack. Händelser från olika enheter i organisationen aggregeras automatiskt av Microsoft 365 Defender.Events from different entities in your organization are automatically aggregated by Microsoft 365 Defender. Du kan använda incident-API:t för att programmässigt få åtkomst till organisationens incidenter och relaterade aviseringar.You can use the incidents API to programatically access your organization's incidents and related alerts.

Kvoter och resurstilldelningQuotas and resource allocation

Du kan begära upp till 50 samtal per minut eller 1 500 samtal per timme.You can request up to 50 calls per minute or 1500 calls per hour. Varje metod har också egna kvoter.Each method also has its own quotas. Mer information om metodspecifika kvoter finns i respektive artikel för den metod du vill använda.For more information on method-specific quotas, see the respective article for the method you want to use.

En HTTP-svarskod anger att du har nått en kvot, antingen genom antal begäranden som skickas 429 eller med tilldelad löpande tid.A 429 HTTP response code indicates that you've reached a quota, either by number of requests sent, or by allotted running time. Svarstexten tar med tiden tills kvoten du har nått återställs.The response body will include the time until the quota you reached will be reset.

BehörigheterPermissions

För incident-API:t krävs olika typer av behörigheter för var och en av dess metoder.The incidents API requires different kinds of permissions for each of its methods. Mer information om obligatoriska behörigheter finns i respektive metods artikel.For more information about required permissions, see the respective method's article.

MetoderMethods

MetodMethod ReturtypReturn Type BeskrivningDescription
Lista incidenterList incidents IncidentlistaIncident list Få en lista över alla incidenter.Get a list of incidents.
Uppdatera incidentUpdate incident IncidentIncident Uppdatera en specifik händelse.Update a specific incident.

Begärans brödtext, svar och exempelRequest body, response, and examples

Mer information om hur du skapar en begäran eller parsar ett svar samt praktiska exempel finns i respektive metodartiklar.Refer to the respective method articles for more details on how to construct a request or parse a response, and for practical examples.

Gemensamma egenskaperCommon properties

EgenskapProperty Type (Typ)Type BeskrivningDescription
incidentIdincidentId longlong Unikt ID för incidenter.Incident unique ID.
redirectIncidentIdredirectIncidentId nullbar longnullable long Det incident-ID som den aktuella incidenten kopplades till.The Incident ID the current Incident was merged to.
incidentNameincidentName strängstring Namnet på incidenten.The name of the Incident.
createdTimecreatedTime DateTimeOffsetDateTimeOffset Datum och tid (i UTC) som incidenten skapades.The date and time (in UTC) the Incident was created.
lastUpdateTimelastUpdateTime DateTimeOffsetDateTimeOffset Datum och tid (i UTC) som incidenten uppdaterades senast.The date and time (in UTC) the Incident was last updated.
assignedToassignedTo strängstring Ägaren till händelsen.Owner of the Incident.
allvarlighetsgradseverity UppräkningEnum Incidentens allvarlighetsgrad.Severity of the Incident. Möjliga värden är: UnSpecified , , , och Informational Low Medium High .Possible values are: UnSpecified, Informational, Low, Medium, and High.
statusstatus UppräkningEnum Anger incidentens aktuella status.Specifies the current status of the incident. Möjliga värden är: Active Resolved , och Redirected .Possible values are: Active, Resolved, and Redirected.
klassificeringclassification UppräkningEnum Specifikation för incidenten.Specification of the incident. Möjliga värden är: Unknown , FalsePositive , TruePositive .Possible values are: Unknown, FalsePositive, TruePositive.
determinationdetermination UppräkningEnum Anger incidentens avgörande.Specifies the determination of the incident. Möjliga värden är: NotAvailable , , , , , , Apt Malware SecurityPersonnel SecurityTesting UnwantedSoftware Other .Possible values are: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other.
taggartags stränglistastring List Lista över incidenttaggar.List of Incident tags.
aviseringaralerts AviseringslistaAlert List Lista med relaterade aviseringar.List of related alerts. Se exempel i dokumentationen för API för listincidenter.See examples at List incidents API documentation.