用于安全事件的 Microsoft Graph API 不提供用于跟踪字段级历史或状态转换审计日志的专用端点。具体而言，不存在可查询的事件严重性变更日志，仅能提供当前值及最后更新时间戳。此外，Graph 变更通知（即 Webhook）并未文档化地支持安全事件。Webhook 支持仅适用于即将弃用的旧版警报（alerts）资源。因此，轮询（polling）目前是监控安全事件变更的唯一支持方法。为有效跟踪严重性变更，请实施一种轮询策略，筛选自上次轮询以来已更新的事件。这需要在 API 请求中使用 $filter=lastUpdateDateTime gt {last_poll_timestamp} 参数。当检索到新的事件数据时，请将传入的严重性与您自身系统中该事件先前存储的严重性进行比较。这种客户端侧比较可让您检测严重性转换。请从每次轮询中存储关键信息（如事件 ID、严重性和最后更新时间），以便进行此类比较。请注意，此方法仅提供变更的近似时间，即表明变更发生在两次轮询间隔之间，而非转换发生的精确秒数。轮询频率将决定该时间信息的粒度。