Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пространство имен: microsoft.graph.security
Обновление свойств объекта инцидента .
Этот API доступен в следующих национальных облачных развертываниях.
| Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ❌ |
Разрешения
Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
| Тип разрешения | Разрешения с наименьшими привилегиями | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | SecurityIncident.ReadWrite.All | Недоступно. |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
| Приложение | SecurityIncident.ReadWrite.All | Недоступно. |
HTTP-запрос
PATCH /security/incidents/{incidentId}
Заголовки запросов
| Имя | Описание |
|---|---|
| Авторизация | Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации. |
| Content-Type | application/json. Обязательно. |
Текст запроса
В тексте запроса укажите только значения свойств для обновления. Существующие свойства, которые не включены в текст запроса, сохраняют свои предыдущие значения или пересчитываются на основе изменений других значений свойств.
В следующей таблице указаны свойства, которые можно обновить.
| Свойство | Тип | Описание |
|---|---|---|
| assignedTo | String | Владелец инцидента или null , если владелец не назначен. Бесплатный редактируемый текст. |
| classification | microsoft.graph.security.alertClassification | Спецификация инцидента. Допустимые значения: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| customTags | Коллекция строк | Массив настраиваемых тегов, связанных с инцидентом. |
| description | String | Описание инцидента. |
| решимость | microsoft.graph.security.alertDetermination | Указывает определение инцидента. Возможные значения: unknown, , apt, malware, securityPersonnelsecurityTesting, , unwantedSoftwareother, , multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, , notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication, . unknownFutureValue |
| displayName | String | Имя инцидента. |
| severity | microsoft.graph.security.alertSeverity | Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют непосредственного внимания. Допустимые значения: unknown, informational, low, medium, high, unknownFutureValue. |
| resolveingComment | string | Входные данные пользователя, объясняющие разрешение инцидента и выбор классификации. Он содержит свободный редактируемый текст. |
| status | microsoft.graph.security.incidentStatus | Состояние инцидента. Допустимые значения: active, resolved, redirected, unknownFutureValue. |
| summary | String | Обзор атаки. Если применимо, сводка содержит сведения о том, что произошло, затронутых ресурсах и типе атаки. |
Отклик
В случае успешного выполнения этот метод возвращает код отклика 200 OK и обновленный объект microsoft.graph.security.incident в теле отклика.
Примеры
Запрос
Ниже показан пример запроса.
PATCH https://graph.microsoft.com/v1.0/security/incidents/2972395
Content-Type: application/json
{
"classification": "TruePositive",
"determination": "MultiStagedAttack",
"customTags": [
"Demo"
]
}
Отклик
Ниже показан пример отклика.
Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.incident",
"id": "2972395",
"incidentWebUrl": "https://security.microsoft.com/incidents/2972395?tid=12f988bf-16f1-11af-11ab-1d7cd011db47",
"redirectIncidentId": null,
"displayName": "Multi-stage incident involving Initial access & Command and control on multiple endpoints reported by multiple sources",
"tenantId": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
"createdDateTime": "2021-08-13T08:43:35.5533333Z",
"lastUpdateDateTime": "2021-09-30T09:35:45.1133333Z",
"assignedTo": "[email protected]",
"classification": "TruePositive",
"determination": "MultiStagedAttack",
"status": "Active",
"severity": "Medium",
"customTags": [
"Demo"
],
"comments": [
{
"comment": "Demo incident",
"createdBy": "[email protected]",
"createdTime": "2021-09-30T12:07:37.2756993Z"
}
],
"systemTags": [
"Defender Experts"
],
"description": "Microsoft observed Raspberry Robin worm activity spreading through infected USB on multiple devices in your environment. From available intel, these infections could be a potential precursor activity to ransomware deployment. ...",
"summary": "Defender Experts has identified some malicious activity. This incident has been raised for your awareness and should be investigated as normal."
}