API för uppdatering av incidenter

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

API-beskrivning

Uppdaterar egenskaper för befintliga incidenter. Egenskaper som kan uppdateras är: status , , , , och determination classification assignedTo tags comments .

Kvoter, resurstilldelning och andra villkor

  1. Du kan ringa upp till 50 samtal per minut eller 1 500 samtal per timme innan du kommer till begränsningströskeln.
  2. Du kan bara ange determination egenskapen om är Inställd på classification TruePositive.

Om din begäran begränsas returneras en 429 svarskod. Svarstexten anger när du kan börja ringa nya samtal.

Behörigheter

En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Komma åt Microsoft 365 Defender API:er.

Behörighetstyp Behörighet Visningsnamn för behörighet
Program Incident.ReadWrite.All Läsa och skriva alla incidenter
Delegerat (arbets- eller skolkonto) Incident.ReadWrite Läs- och skrivincidenter

Anteckning

När användaren skaffar en token med användarautentiseringsuppgifter måste han eller hon ha behörighet att uppdatera incidenten i portalen.

HTTP-begäran

PATCH /api/incidents/{id}

Frågerubriker

Namn Typ Beskrivning
Auktorisering Sträng Bearer {token}. Obligatoriskt.
Content-Type Sträng application/json. Obligatoriskt.

Frågebrödtext

Ange värden för fälten som ska uppdateras i brödtexten för begäran. Befintliga egenskaper som inte finns i begärans brödtext behåller sina värden, såvida de inte behöver beräknas om på grund av ändringar av relaterade värden. För bästa prestanda bör du utelämna befintliga värden som inte har ändrats.

Egenskap Typ Beskrivning
status Uppräkning Anger incidentens aktuella status. Möjliga värden är: Active Resolved , och Redirected .
assignedTo sträng Ägaren till händelsen.
klassificering Uppräkning Specifikation för incidenten. Möjliga värden är: Unknown , FalsePositive , TruePositive .
determination Uppräkning Anger incidentens avgörande. Möjliga värden är: NotAvailable , , , , , , Apt Malware SecurityPersonnel SecurityTesting UnwantedSoftware Other .
taggar stränglista Lista över incidenttaggar.
kommentar sträng Kommentar som ska läggas till i incidenten.

Svar

Om det lyckas returnerar den här metoden 200 OK . Svarstexten innehåller incidententitet med uppdaterade egenskaper. Om en incident med det angivna ID:t inte hittas returnerar metoden 404 Not Found .

Exempel

Exempel på förfrågan

Här är ett exempel på begäran.

 PATCH https://api.security.microsoft.com/api/incidents/{id}

Svarsexempel

{
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "TruePositive",
    "determination": "Malware",
    "tags": ["Yossi's playground", "Don't mess with the Zohan"],
    "comments": [
          {
              "comment": "pen testing",
              "createdBy": "secop2@contoso.com",
              "createdTime": "2021-05-02T09:34:21.5519738Z"
          },
          {
              "comment": "valid incident",
              "createdBy": "secop2@contoso.comt",
              "createdTime": "2021-05-02T09:36:27.6652581Z"
          }
      ]
}