API Microsoft Graph для инцидентов безопасности не предоставляет выделенной конечной точки для отслеживания истории на уровне полей или журналов аудита для переходов. В частности, нет журнала изменений для уровня серьезности инцидента, только текущее значение и временная метка последнего обновления. Кроме того, уведомления об изменениях Graph или веб-хуки не документированы как поддерживаемые для инцидентов безопасности. Поддержка веб-хуков доступна только для устаревшего ресурса оповещений, который планируется к выводу из эксплуатации. Следовательно, опрос в настоящее время является единственным поддерживаемым методом мониторинга изменений в инцидентах безопасности. Чтобы эффективно отслеживать изменения уровня серьезности, реализуйте стратегию опроса, которая фильтрует инциденты, обновленные с момента последнего опроса. Это включает использование параметра $filter=lastUpdateDateTime gt {last_poll_timestamp} в ваших запросах к API. Когда будут получены новые данные об инциденте, сравните входящий уровень серьезности с ранее сохраненным уровнем серьезности для этого инцидента в вашей собственной системе. Это сравнение на стороне клиента позволит вам обнаруживать переходы уровня серьезности. Сохраняйте ключевую информацию, такую как идентификатор инцидента, уровень серьезности и время последнего обновления, из каждого опроса, чтобы облегчить эти сравнения. Имейте в виду, что этот метод предоставляет приблизительное время изменения, что означает, что он указывает на то, что изменение произошло между интервалами опроса, а не на точную секунду перехода. Частота вашего опроса будет определять детализацию этой информации о времени.