Threat Alerts API
Underhålls av: Aether365 Team Målgrupp: Utvecklare Omfattning: Identitetsrisksignaler och inneslutning med ett klick
Threat Alerts visar en ansluten tenants aktiva identitetsrisksignaler - riskfyllda användare, riskdetekteringar och säkerhetsvarningar - lästa direkt från Microsoft Graph. Du kan också innesluta en riskfylld användare (återkalla sessioner och inaktivera kontot) i ett enda anrop.
Krav
Läsningar i Threat Alerts kräver behörigheten Threat Alerts och en Microsoft 365-anslutning i AI Pilot-läge (risksignalerna kommer från AI Pilot-Graph-appen). Inneslutning kräver dessutom behörigheten breach response. Utan en AI Pilot-anslutning returnerar läs-endpointen { "aiPilotConnected": false }.
Hämta hotsignaler
Returnerar de senaste identitetsrisksignalerna. Varje källa hämtas oberoende, så en enda saknad behörighet eller olicensierad funktion sänker aldrig hela svaret: den källan returnerar tomt med en status i sources.
GET /tenants/me/threatsFrågeparametrar
| Parameter | Typ | Beskrivning |
|---|---|---|
connectionId | string | Valfritt. AI Pilot-anslutning att läsa; standard är den äldsta |
Exempelsvar
json
{
"success": true,
"data": {
"aiPilotConnected": true,
"msTenantId": "00000000-0000-0000-0000-000000000000",
"riskyUsers": [{ "id": "...", "userPrincipalName": "user@contoso.com", "riskLevel": "high" }],
"riskDetections": [],
"securityAlerts": [],
"sources": {
"riskyUsers": "ok",
"riskDetections": "ok",
"securityAlerts": "notLicensed"
}
}
}Statusvärden för en källa
| Status | Betydelse |
|---|---|
ok | Signaler returnerade framgångsrikt |
needsConsent | En Graph-behörighet saknas - bevilja samtycke på nytt för att aktivera källan |
notLicensed | Tenanten saknar funktionen (t.ex. Entra ID P2 / Defender) - samtycke hjälper inte |
error | Ett oväntat fel vid hämtning av källan |
Innesluta en riskfylld användare
Återkallar användarens aktiva inloggningssessioner och inaktiverar kontot. Detta är en destruktiv Microsoft Graph-skrivning genom AI Pilot-anslutningen; de två skrivningarna är oberoende, så ett partiellt fel rapporteras i stället för att tyst rullas tillbaka.
POST /tenants/me/threats/containBegärandekropp
| Fält | Typ | Beskrivning |
|---|---|---|
userId | string | Microsoft 365-användaren (object id eller UPN) att innesluta |
connectionId | string | Valfritt. AI Pilot-anslutning att agera genom |
Exempelbegäran
bash
curl -X POST https://api.aether365.io/tenants/me/threats/contain \
-H "Authorization: Bearer ak_live_..." \
-H "Content-Type: application/json" \
-d '{ "userId": "user@contoso.com" }'Exempelsvar
json
{
"success": true,
"data": {
"userId": "user@contoso.com",
"connectionId": "conn_abc123",
"disabled": true,
"sessionsRevoked": true,
"needsReconsent": false
}
}needsReconsent är true när en skrivning avvisades eftersom write consent saknas eller har gått ut; bevilja samtycke på nytt och försök igen.