Microsoft Defender 全面偵測回應 事件 API 和事件資源類型

  • 發行項

適用於:

注意事項

使用 MS Graph 安全性 API 試用新的 API。 深入瞭解: 使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn

重要事項

部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

事件是相關警示的集合,可協助描述攻擊。 來自組織中不同實體的事件會由 Microsoft Defender 全面偵測回應 自動匯總。 您可以使用事件 API,以程式設計方式存取組織的事件和相關警示。

配額和資源配置

您每分鐘最多可以要求 50 個通話,或每小時要求 1,500 個通話。 每個方法也有自己的配額。 如需方法特定配額的詳細資訊,請參閱您想要使用之方法的個別文章。

429 HTTP 回應碼表示您已達到配額,不論是依傳送的要求數目,或是依分配的運行時間。 回應本文包含重設您達到的配額之前的時間。

權限

事件 API 的每個方法都需要不同類型的許可權。 如需必要許可權的詳細資訊,請參閱個別方法的文章。

方法

方法 傳回類型 描述
列出事件 事件 清單 取得事件清單。
更新事件 事件 更新特定事件。
取得事件 事件 取得單一事件。

要求本文、回應和範例

如需如何建構要求或剖析回應的詳細資訊,以及實際範例,請參閱個別的方法文章。

一般屬性

屬性 類型 描述
incidentId long 事件唯一標識碼。
redirectIncidentId 可為 Null 的 long 目前事件所要合併的事件標識碼。
incidentName 字串 事件的名稱。
createdTime DateTimeOffset 建立事件) UTC 中的日期和時間 (。
lastUpdateTime DateTimeOffset 上次更新事件) UTC 中的日期和時間 (。
assignedTo 字串 事件的擁有者。
嚴重性 Enum 事件的嚴重性。 可能的值為: UnSpecifiedInformationalLowMediumHigh
狀態 Enum 指定事件的目前狀態。 可能的值為: ActiveInProgressResolvedRedirected
分類 Enum 事件的規格。 可能的值為: TruePositiveInformational, expected activityFalsePositive
測定 Enum 指定事件的判斷。

每個分類的可能判斷值如下:

  • 確判Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 請考慮據以變更公用 API 中的列舉名稱、 Malware (惡意代碼) 、 Phishing (網络釣魚) 、 Unwanted software (UnwantedSoftware) ,以及 Other (Other) 。
  • 信息、預期的活動:Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedUserActivity) - 請考慮據以變更公用 API 中的列舉名稱, (Other 其他) 。
  • 誤判:Not malicious (清除) - 請考慮據以變更公用 API 中的列舉名稱、 Not enough data to validate (InsufficientData) ,以及 Other (其他) 。
    		•
    標記 字串清單 事件標籤清單。
    註解 事件批注清單 事件批注物件包含:批注字串、createdBy 字串和 createTime 日期時間。
    警報 警示清單 相關警示的清單。 請參閱 列出事件 API 檔中的範例。

    注意事項

    在 2022 年 8 月 29 日左右,先前支援的警示判斷值 (AptSecurityPersonnel) 將會淘汰,且不再可透過 API 使用。

    提示

    想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。