API för uppdatering av incidenter
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
API-beskrivning
Uppdaterar egenskaper för befintliga incidenter. Egenskaper som kan uppdateras är: status , , , , och determination classification assignedTo tags comments .
Kvoter, resurstilldelning och andra villkor
- Du kan ringa upp till 50 samtal per minut eller 1 500 samtal per timme innan du kommer till begränsningströskeln.
- Du kan bara ange
determinationegenskapen om är Inställd påclassificationTruePositive.
Om din begäran begränsas returneras en 429 svarskod. Svarstexten anger när du kan börja ringa nya samtal.
Behörigheter
En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Komma åt Microsoft 365 Defender API:er.
| Behörighetstyp | Behörighet | Visningsnamn för behörighet |
|---|---|---|
| Program | Incident.ReadWrite.All | Läsa och skriva alla incidenter |
| Delegerat (arbets- eller skolkonto) | Incident.ReadWrite | Läs- och skrivincidenter |
Anteckning
När användaren skaffar en token med användarautentiseringsuppgifter måste han eller hon ha behörighet att uppdatera incidenten i portalen.
HTTP-begäran
PATCH /api/incidents/{id}
Frågerubriker
| Namn | Typ | Beskrivning |
|---|---|---|
| Auktorisering | Sträng | Bearer {token}. Obligatoriskt. |
| Content-Type | Sträng | application/json. Obligatoriskt. |
Frågebrödtext
Ange värden för fälten som ska uppdateras i brödtexten för begäran. Befintliga egenskaper som inte finns i begärans brödtext behåller sina värden, såvida de inte behöver beräknas om på grund av ändringar av relaterade värden. För bästa prestanda bör du utelämna befintliga värden som inte har ändrats.
| Egenskap | Typ | Beskrivning |
|---|---|---|
| status | Uppräkning | Anger incidentens aktuella status. Möjliga värden är: Active Resolved , och Redirected . |
| assignedTo | sträng | Ägaren till händelsen. |
| klassificering | Uppräkning | Specifikation för incidenten. Möjliga värden är: Unknown , FalsePositive , TruePositive . |
| determination | Uppräkning | Anger incidentens avgörande. Möjliga värden är: NotAvailable , , , , , , Apt Malware SecurityPersonnel SecurityTesting UnwantedSoftware Other . |
| taggar | stränglista | Lista över incidenttaggar. |
| kommentar | sträng | Kommentar som ska läggas till i incidenten. |
Svar
Om det lyckas returnerar den här metoden 200 OK . Svarstexten innehåller incidententitet med uppdaterade egenskaper. Om en incident med det angivna ID:t inte hittas returnerar metoden 404 Not Found .
Exempel
Exempel på förfrågan
Här är ett exempel på begäran.
PATCH https://api.security.microsoft.com/api/incidents/{id}
Svarsexempel
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "TruePositive",
"determination": "Malware",
"tags": ["Yossi's playground", "Don't mess with the Zohan"],
"comments": [
{
"comment": "pen testing",
"createdBy": "secop2@contoso.com",
"createdTime": "2021-05-02T09:34:21.5519738Z"
},
{
"comment": "valid incident",
"createdBy": "secop2@contoso.comt",
"createdTime": "2021-05-02T09:36:27.6652581Z"
}
]
}