Atualizar incidente
Espaço de nomes: microsoft.graph.security
Importante
As APIs na versão /beta
no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Atualize as propriedades de um objeto de incidente .
Esta API está disponível nas seguintes implementações de cloud nacionais.
Serviço global | US Government L4 | US Government L5 (DOD) | China operada pela 21Vianet |
---|---|---|---|
✅ | ✅ | ✅ | ❌ |
Permissões
Escolha a permissão ou permissões marcadas como menos privilegiadas para esta API. Utilize uma permissão ou permissões com privilégios mais elevados apenas se a sua aplicação o exigir. Para obter detalhes sobre as permissões delegadas e de aplicação, veja Tipos de permissão. Para saber mais sobre estas permissões, veja a referência de permissões.
Tipo de permissão | Permissões com menos privilégios | Permissões com privilégios superiores |
---|---|---|
Delegado (conta corporativa ou de estudante) | SecurityIncident.ReadWrite.All | Indisponível. |
Delegado (conta pessoal da Microsoft) | Sem suporte. | Sem suporte. |
Application | SecurityIncident.ReadWrite.All | Indisponível. |
Solicitação HTTP
PATCH /security/incidents/{incidentId}
Cabeçalhos de solicitação
Nome | Descrição |
---|---|
Autorização | {token} de portador. Obrigatório. Saiba mais sobre autenticação e autorização. |
Content-Type | application/json. Obrigatório. |
Corpo da solicitação
No corpo do pedido, forneça apenas os valores das propriedades a atualizar. As propriedades existentes que não estão incluídas no corpo do pedido mantêm os valores anteriores ou são recalculadas com base em alterações a outros valores de propriedade.
A tabela a seguir especifica as propriedades que podem ser atualizadas.
Propriedade | Tipo | Descrição |
---|---|---|
assignedTo | Cadeia de caracteres | Proprietário do incidente ou null se não for atribuído nenhum proprietário. Texto editável gratuito. |
classificação | microsoft.graph.security.alertClassification | A especificação do incidente. Os valores possíveis são: unknown , falsePositive , truePositive , informationalExpectedActivity , unknownFutureValue . |
customTags | String collection | Matriz de etiquetas personalizadas associadas a um incidente. |
description | Cadeia de caracteres | Descrição do incidente. |
determinação | microsoft.graph.security.alertDetermination | Especifica a determinação do incidente. Os valores possíveis são: unknown , apt , malware , securityPersonnel , securityTesting , unwantedSoftware , other , multiStagedAttack , compromisedAccount , phishing , maliciousUserActivity , notMalicious , notEnoughDataToValidate , confirmedUserActivity , lineOfBusinessApplication , unknownFutureValue . |
displayName | Cadeia de caracteres | O nome do incidente. |
severity | microsoft.graph.security.alertSeverity | Indica o possível impacto nos recursos. Quanto maior for a gravidade, maior será o impacto. Normalmente, os itens de maior gravidade requerem a atenção mais imediata. Os possíveis valores são: unknown , informational , low , medium , high , unknownFutureValue . |
resolverComment | string | Entrada do utilizador que explica a resolução do incidente e a opção de classificação. Contém texto editável gratuito. |
status | microsoft.graph.security.incidentStatus | O status do incidente. Os valores possíveis são: active , resolved , redirected , unknownFutureValue . |
summary | Cadeia de caracteres | A descrição geral de um ataque. Quando aplicável, o resumo contém detalhes sobre o que ocorreu, os recursos afetados e o tipo de ataque. |
Resposta
Se for bem-sucedido, este método devolve um 200 OK
código de resposta e um objeto microsoft.graph.security.incident atualizado no corpo da resposta.
Exemplos
Solicitação
O exemplo a seguir mostra uma solicitação.
PATCH https://graph.microsoft.com/beta/security/incidents/2972395
Content-Type: application/json
{
"classification": "TruePositive",
"determination": "MultiStagedAttack",
"customTags": [
"Demo"
]
}
Resposta
O exemplo a seguir mostra a resposta.
Observação: o objeto de resposta mostrado aqui pode ser encurtado para legibilidade.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.incident",
"id": "2972395",
"incidentWebUrl": "https://security.microsoft.com/incidents/2972395?tid=12f988bf-16f1-11af-11ab-1d7cd011db47",
"redirectIncidentId": null,
"displayName": "Multi-stage incident involving Initial access & Command and control on multiple endpoints reported by multiple sources",
"tenantId": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
"createdDateTime": "2021-08-13T08:43:35.5533333Z",
"lastUpdateDateTime": "2021-09-30T09:35:45.1133333Z",
"assignedTo": "KaiC@contoso.com",
"classification": "TruePositive",
"determination": "MultiStagedAttack",
"status": "Active",
"severity": "Medium",
"customTags": [
"Demo"
],
"comments": [
{
"comment": "Demo incident",
"createdBy": "DavidS@contoso.com",
"createdTime": "2021-09-30T12:07:37.2756993Z"
}
],
"systemTags": [
"Defender Experts"
],
"description": "Microsoft observed Raspberry Robin worm activity spreading through infected USB on multiple devices in your environment. From available intel, these infections could be a potential precursor activity to ransomware deployment. ...",
"recommendedActions": "Immediate Recommendations: 1. Block untrusted and unsigned processes that run from USB (ASR Rule) 2. Verify if the ASR rule is turned on for the devices and evaluate whether the ASR . ...",
"recommendedHuntingQueries": [
{
"kqlText": "//Run this query to identify the devices having Raspberry Robin worm alerts AlertInfo | where Timestamp >= datetime(2022-10-20 06:00:52.9644915) | where Title == 'Potential Raspberry Robin worm command' | join AlertEvidence on AlertId | distinct DeviceId"
}
],
"summary": "Defender Experts has identified some malicious activity. This incident has been raised for your awareness and should be investigated as normal."
}