セキュリティインシデント用のMicrosoft Graph APIは、フィールドレベルの履歴や遷移の監査ログを追跡するための専用エンドポイントを提供していません。具体的には、インシデントの重大度に関するクエリ可能な変更ログはなく、現在の値と最終更新タイムスタンプのみが存在します。さらに、Graphの変更通知、またはWebhookは、セキュリティインシデントでサポートされているとは文書化されていません。Webhookのサポートは、廃止予定のレガシーアラートリソースに対してのみ利用可能です。その結果、現在、セキュリティインシデントの変更を監視するための唯一サポートされている方法はポーリングです。重大度の変更を効果的に追跡するには、前回のポーリング以降に更新されたインシデントをフィルタリングするポーリング戦略を実装します。これには、APIリクエストで$filter=lastUpdateDateTime gt {last_poll_timestamp}パラメータを使用することが含まれます。新しいインシデントデータを取得したら、受信した重大度を、ご自身のシステムに以前保存したそのインシデントの重大度と比較します。このクライアントサイドの比較により、重大度の遷移を検出できます。これらの比較を容易にするために、各ポーリングからインシデントID、重大度、最終更新時間などの重要な情報を保存します。この方法は変更のおおよその時間を提供するものであり、正確な遷移秒ではなく、ポーリング間隔の間に変更が発生したことを示します。ポーリングの頻度が、このタイミング情報の粒度を決定します。