Share via

Microsoft Defender XDR事件 API 和事件资源类型

  • 项目

适用于:

注意

使用 MS Graph 安全 API 试用我们的新 API。 有关详细信息,请查看: 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn

重要

某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

事件是相关警报的集合,可帮助描述攻击。 Microsoft Defender XDR自动聚合组织中不同实体的事件。 可以使用事件 API 以编程方式访问组织的事件和相关警报。

配额和资源分配

每分钟最多可以请求 50 个呼叫或每小时 1,500 个呼叫。 每个方法也有其自己的配额。 有关特定于方法的配额的详细信息,请参阅要使用的方法的相应文章。

429 HTTP 响应代码指示已按发送的请求数或分配的运行时间达到配额。 响应正文包括重置所达到配额之前的时间。

权限

事件 API 需要对其每个方法具有不同类型的权限。 有关所需权限的详细信息,请参阅相应方法的文章。

方法

方法 返回类型 说明
列出事件 事件 列表 获取事件列表。
更新事件 事件 更新特定事件。
获取事件 事件 获取单个事件。

请求正文、响应和示例

有关如何构造请求或分析响应的更多详细信息,请参阅相应的方法文章,以及实际示例。

通用属性

属性 类型 说明
incidentId long 事件唯一 ID。
redirectIncidentId 可以为 null 的 long 当前事件合并到的事件 ID。
incidentName string 事件的名称。
createdTime DateTimeOffset 创建事件) UTC 格式 (日期和时间。
lastUpdateTime DateTimeOffset 上次更新事件) UTC (日期和时间。
assignedTo string 事件的所有者。
severity 枚举 事件的严重性。 可能的值为:UnSpecified、、InformationalLowMedium、 和 High
status 枚举 指定事件的当前状态。 可能的值为: ActiveInProgressResolvedRedirected
classification 枚举 事件的规范。 可能的值为: TruePositiveInformational, expected activityFalsePositive
测定 枚举 指定事件的确定。

每个分类的可能确定值为:

  • 真正Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 考虑相应地更改公共 api 中的枚举名称、 Malware (恶意软件) 、 Phishing (钓鱼) 、 Unwanted software (不需要的Software) 和其他 Other () 。
  • 信息性预期活动:Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedUserActivity) - 考虑相应地更改公共 api 中的枚举名称,并 Other (其他) 。
  • 误报:Not malicious (清理) - 考虑相应地更改公共 api 中的枚举名称, Not enough data to validate (InsufficientData) ,并 Other (其他) 。
    		•
    tags 字符串列表 事件标记列表。
    comments 事件注释列表 事件注释对象包含:注释字符串、createdBy 字符串和 createTime 日期时间。
    警报 警报列表 相关警报的列表。 请参阅 列出事件 API 文档中的示例。

    注意

    在 2022 年 8 月 29 日左右,以前支持的警报确定值 (AptSecurityPersonnel) 将弃用,不再通过 API 提供。

    提示

    想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区