Threat Alerts API
Autorius: Aether365 komanda Auditorija: Kūrėjai Apimtis: Tapatybės rizikos signalai ir vieno paspaudimo izoliavimas
Threat Alerts parodo prijungtos organizacijos aktyvius tapatybės rizikos signalus - rizikingus naudotojus, rizikos aptikimus ir saugumo įspėjimus - skaitomus tiesiogiai iš Microsoft Graph. Taip pat galite izoliuoti rizikingą naudotoją (atšaukti seansus ir išjungti paskyrą) vienu iškvietimu.
Reikalavimai
Threat Alerts skaitymui reikia Threat Alerts teisės ir Microsoft 365 ryšio AI Pilot režimu (rizikos signalai ateina iš AI Pilot Graph programos). Izoliavimui papildomai reikia breach response teisės. Be AI Pilot ryšio skaitymo galutinis taškas grąžina { "aiPilotConnected": false }.
Grėsmės signalų gavimas
Grąžina naujausius tapatybės rizikos signalus. Kiekvienas šaltinis gaunamas atskirai, todėl vienas trūkstamas leidimas ar nelicencijuota funkcija niekada nepaskandina viso atsakymo: tas šaltinis grąžina tuščią rezultatą su būsena lauke sources.
GET /tenants/me/threatsUžklausos parametrai
| Parametras | Tipas | Aprašymas |
|---|---|---|
connectionId | string | Neprivaloma. Skaitomas AI Pilot ryšys; numatytasis - seniausias |
Atsakymo pavyzdys
json
{
"success": true,
"data": {
"aiPilotConnected": true,
"msTenantId": "00000000-0000-0000-0000-000000000000",
"riskyUsers": [{ "id": "...", "userPrincipalName": "user@contoso.com", "riskLevel": "high" }],
"riskDetections": [],
"securityAlerts": [],
"sources": {
"riskyUsers": "ok",
"riskDetections": "ok",
"securityAlerts": "notLicensed"
}
}
}Šaltinio būsenos reikšmės
| Būsena | Reikšmė |
|---|---|
ok | Signalai grąžinti sėkmingai |
needsConsent | Trūksta Graph leidimo - suteikite sutikimą iš naujo, kad įjungtumėte šį šaltinį |
notLicensed | Organizacijai trūksta galimybės (pvz., Entra ID P2 / Defender) - sutikimas nepadės |
error | Netikėta klaida gaunant šį šaltinį |
Rizikingo naudotojo izoliavimas
Atšaukia aktyvius naudotojo prisijungimo seansus ir išjungia paskyrą. Tai destruktyvus Microsoft Graph rašymas per AI Pilot ryšį; abu rašymai yra nepriklausomi, todėl dalinė nesėkmė pranešama, o ne tyliai atšaukiama.
POST /tenants/me/threats/containUžklausos turinys
| Laukas | Tipas | Aprašymas |
|---|---|---|
userId | string | Izoliuotinas Microsoft 365 naudotojas (objekto id arba UPN) |
connectionId | string | Neprivaloma. AI Pilot ryšys, per kurį veikti |
Užklausos pavyzdys
bash
curl -X POST https://api.aether365.io/tenants/me/threats/contain \
-H "Authorization: Bearer ak_live_..." \
-H "Content-Type: application/json" \
-d '{ "userId": "user@contoso.com" }'Atsakymo pavyzdys
json
{
"success": true,
"data": {
"userId": "user@contoso.com",
"connectionId": "conn_abc123",
"disabled": true,
"sessionsRevoked": true,
"needsReconsent": false
}
}needsReconsent yra true, kai rašymas buvo atmestas dėl trūkstamo ar pasibaigusio rašymo sutikimo; suteikite sutikimą iš naujo ir pakartokite.