Threat Alerts API
Maintenu par : Aether365 Team Public : Développeurs Périmètre : Signaux de risque d'identité et confinement en un clic
Threat Alerts met en évidence les signaux de risque d'identité actifs d'un tenant connecté - utilisateurs à risque, détections de risque et alertes de sécurité - lus en direct depuis Microsoft Graph. Vous pouvez également confiner un utilisateur à risque (révoquer ses sessions et désactiver le compte) en un seul appel.
Prérequis
Les lectures de Threat Alerts nécessitent l'autorisation Threat Alerts et une connexion Microsoft 365 en mode AI Pilot (les signaux de risque proviennent de l'application AI Pilot Graph). Le confinement nécessite en plus l'autorisation breach response. Sans connexion AI Pilot, l'endpoint de lecture renvoie { "aiPilotConnected": false }.
Récupérer les signaux de menace
Renvoie les signaux de risque d'identité les plus récents. Chaque source est récupérée indépendamment, de sorte qu'une seule autorisation manquante ou une fonctionnalité non licenciée ne fait jamais échouer toute la réponse : cette source renvoie un résultat vide avec un statut dans sources.
GET /tenants/me/threatsParamètres de requête
| Paramètre | Type | Description |
|---|---|---|
connectionId | string | Optionnel. Connexion AI Pilot à lire ; par défaut la plus ancienne |
Exemple de réponse
json
{
"success": true,
"data": {
"aiPilotConnected": true,
"msTenantId": "00000000-0000-0000-0000-000000000000",
"riskyUsers": [{ "id": "...", "userPrincipalName": "user@contoso.com", "riskLevel": "high" }],
"riskDetections": [],
"securityAlerts": [],
"sources": {
"riskyUsers": "ok",
"riskDetections": "ok",
"securityAlerts": "notLicensed"
}
}
}Valeurs de statut des sources
| Statut | Signification |
|---|---|
ok | Signaux renvoyés avec succès |
needsConsent | Une autorisation Graph est manquante - redonnez le consentement pour activer cette source |
notLicensed | Le tenant ne dispose pas de la capacité (par exemple Entra ID P2 / Defender) - le consentement n'y changera rien |
error | Une erreur inattendue lors de la récupération de cette source |
Confiner un utilisateur à risque
Révoque les sessions de connexion actives de l'utilisateur et désactive le compte. Il s'agit d'une écriture destructive sur Microsoft Graph via la connexion AI Pilot ; les deux écritures sont indépendantes, de sorte qu'un échec partiel est signalé plutôt qu'annulé silencieusement.
POST /tenants/me/threats/containCorps de la requête
| Champ | Type | Description |
|---|---|---|
userId | string | L'utilisateur Microsoft 365 (object id ou UPN) à confiner |
connectionId | string | Optionnel. Connexion AI Pilot par laquelle agir |
Exemple de requête
bash
curl -X POST https://api.aether365.io/tenants/me/threats/contain \
-H "Authorization: Bearer ak_live_..." \
-H "Content-Type: application/json" \
-d '{ "userId": "user@contoso.com" }'Exemple de réponse
json
{
"success": true,
"data": {
"userId": "user@contoso.com",
"connectionId": "conn_abc123",
"disabled": true,
"sessionsRevoked": true,
"needsReconsent": false
}
}needsReconsent vaut true lorsqu'une écriture a été rejetée parce que le write-consent est absent ou expiré ; redonnez le consentement et réessayez.