Threat Alerts API
Onderhouden door: Aether365 Team Doelgroep: Ontwikkelaars Scope: Identiteitsrisicosignalen en containment met één klik
Threat Alerts toont de actieve identiteitsrisicosignalen van een verbonden tenant - risicovolle gebruikers, risicodetecties en beveiligingswaarschuwingen - live gelezen uit Microsoft Graph. Je kunt ook een risicovolle gebruiker in één aanroep indammen (sessies intrekken en het account uitschakelen).
Vereisten
Leesaanroepen van Threat Alerts vereisen de Threat Alerts-rechten en een Microsoft 365-verbinding in AI Pilot-modus (de risicosignalen komen van de AI Pilot Graph-app). Containment vereist daarnaast de breach response-rechten. Zonder een AI Pilot-verbinding geeft het lees-endpoint { "aiPilotConnected": false } terug.
Dreigingssignalen opvragen
Geeft de meest recente identiteitsrisicosignalen terug. Elke bron wordt onafhankelijk opgehaald, zodat één ontbrekende permissie of niet-gelicentieerde functie nooit de hele response laat mislukken: die bron geeft leeg terug met een status in sources.
GET /tenants/me/threatsQueryparameters
| Parameter | Type | Beschrijving |
|---|---|---|
connectionId | string | Optioneel. Te lezen AI Pilot-verbinding; standaard de oudste |
Voorbeeldresponse
json
{
"success": true,
"data": {
"aiPilotConnected": true,
"msTenantId": "00000000-0000-0000-0000-000000000000",
"riskyUsers": [{ "id": "...", "userPrincipalName": "user@contoso.com", "riskLevel": "high" }],
"riskDetections": [],
"securityAlerts": [],
"sources": {
"riskyUsers": "ok",
"riskDetections": "ok",
"securityAlerts": "notLicensed"
}
}
}Statuswaarden van een bron
| Status | Betekenis |
|---|---|
ok | Signalen succesvol teruggegeven |
needsConsent | Een Graph-permissie ontbreekt - verleen opnieuw consent om deze bron in te schakelen |
notLicensed | De tenant mist de capaciteit (bijv. Entra ID P2 / Defender) - consent helpt niet |
error | Een onverwachte fout bij het ophalen van deze bron |
Een risicovolle gebruiker indammen
Trekt de actieve aanmeldsessies van de gebruiker in en schakelt het account uit. Dit is een destructieve Microsoft Graph-write via de AI Pilot-verbinding; de twee writes zijn onafhankelijk, dus een gedeeltelijke mislukking wordt gerapporteerd in plaats van stilzwijgend teruggedraaid.
POST /tenants/me/threats/containVerzoekbody
| Veld | Type | Beschrijving |
|---|---|---|
userId | string | De in te dammen Microsoft 365-gebruiker (object id of UPN) |
connectionId | string | Optioneel. AI Pilot-verbinding om via te handelen |
Voorbeeldverzoek
bash
curl -X POST https://api.aether365.io/tenants/me/threats/contain \
-H "Authorization: Bearer ak_live_..." \
-H "Content-Type: application/json" \
-d '{ "userId": "user@contoso.com" }'Voorbeeldresponse
json
{
"success": true,
"data": {
"userId": "user@contoso.com",
"connectionId": "conn_abc123",
"disabled": true,
"sessionsRevoked": true,
"needsReconsent": false
}
}needsReconsent is true wanneer een write is geweigerd omdat write consent ontbreekt of is verlopen; verleen opnieuw consent en probeer het nogmaals.