Threat Alerts API
Vedlikeholdt av: Aether365 Team Målgruppe: Utviklere Omfang: Identitetsrisikosignaler og inneslutning med ett klikk
Threat Alerts viser en tilkoblet leietakers aktive identitetsrisikosignaler - risikoutsatte brukere, risikodeteksjoner og sikkerhetsvarsler - lest direkte fra Microsoft Graph. Du kan også innesperre en risikoutsatt bruker (tilbakekalle økter og deaktivere kontoen) i ett enkelt kall.
Krav
Lesinger i Threat Alerts krever rettigheten Threat Alerts og en Microsoft 365-tilkobling i AI Pilot-modus (risikosignalene kommer fra AI Pilot-Graph-appen). Inneslutning krever i tillegg rettigheten breach response. Uten en AI Pilot-tilkobling returnerer lese-endepunktet { "aiPilotConnected": false }.
Hente trusselsignaler
Returnerer de nyeste identitetsrisikosignalene. Hver kilde hentes uavhengig, slik at én manglende tillatelse eller ulisensiert funksjon aldri senker hele responsen: den kilden returnerer tom med en status i sources.
GET /tenants/me/threatsSpørreparametere
| Parameter | Type | Beskrivelse |
|---|---|---|
connectionId | string | Valgfritt. AI Pilot-tilkobling å lese; bruker den eldste som standard |
Eksempelrespons
json
{
"success": true,
"data": {
"aiPilotConnected": true,
"msTenantId": "00000000-0000-0000-0000-000000000000",
"riskyUsers": [{ "id": "...", "userPrincipalName": "user@contoso.com", "riskLevel": "high" }],
"riskDetections": [],
"securityAlerts": [],
"sources": {
"riskyUsers": "ok",
"riskDetections": "ok",
"securityAlerts": "notLicensed"
}
}
}Statusverdier for en kilde
| Status | Betydning |
|---|---|
ok | Signaler returnert vellykket |
needsConsent | En Graph-tillatelse mangler - gi samtykke på nytt for å aktivere denne kilden |
notLicensed | Leietakeren mangler funksjonen (f.eks. Entra ID P2 / Defender) - samtykke hjelper ikke |
error | En uventet feil ved henting av denne kilden |
Innesperre en risikoutsatt bruker
Tilbakekaller brukerens aktive påloggingsøkter og deaktiverer kontoen. Dette er en destruktiv Microsoft Graph-skriving gjennom AI Pilot-tilkoblingen; de to skrivingene er uavhengige, så en delvis feil rapporteres i stedet for å rulles stille tilbake.
POST /tenants/me/threats/containForespørselskropp
| Felt | Type | Beskrivelse |
|---|---|---|
userId | string | Microsoft 365-brukeren (object id eller UPN) som skal innesperres |
connectionId | string | Valgfritt. AI Pilot-tilkobling å handle gjennom |
Eksempelforespørsel
bash
curl -X POST https://api.aether365.io/tenants/me/threats/contain \
-H "Authorization: Bearer ak_live_..." \
-H "Content-Type: application/json" \
-d '{ "userId": "user@contoso.com" }'Eksempelrespons
json
{
"success": true,
"data": {
"userId": "user@contoso.com",
"connectionId": "conn_abc123",
"disabled": true,
"sessionsRevoked": true,
"needsReconsent": false
}
}needsReconsent er true når en skriving ble avvist fordi write consent mangler eller er utløpt; gi samtykke på nytt og prøv igjen.