إنشاء واجهة برمجة تطبيقات التنبيه
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- مشكلات الأداء في Microsoft Defender لنقطة النهاية
- Microsoft Defender XDR
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
ملاحظة
إذا كنت أحد عملاء حكومة الولايات المتحدة، فالرجاء استخدام معرفات URI المدرجة في Microsoft Defender لنقطة النهاية لعملاء حكومة الولايات المتحدة.
تلميح
للحصول على أداء أفضل، يمكنك استخدام الخادم الأقرب إلى موقعك الجغرافي:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
وصف واجهة برمجة التطبيقات
إنشاء تنبيه جديد أعلى الحدث.
- مطلوب حدث Microsoft Defender لنقطة النهاية لإنشاء التنبيه.
- تحتاج إلى توفير ثلاث معلمات من الحدث في الطلب: وقت الحدثومعرف الجهازومعرف التقرير. انظر المثال أدناه.
- يمكنك استخدام حدث موجود في واجهة برمجة تطبيقات التتبع المتقدم أو المدخل.
- إذا كان هناك تنبيه مفتوح موجود على نفس الجهاز بنفس العنوان، يتم دمج التنبيه الجديد الذي تم إنشاؤه معه.
- يبدأ التحقيق التلقائي تلقائيا في التنبيهات التي تم إنشاؤها عبر واجهة برمجة التطبيقات.
القيود
- قيود المعدل لواجهة برمجة التطبيقات هذه هي 15 استدعاء في الدقيقة.
الأذونات
أحد الأذونات التالية مطلوب لاستدعاء واجهة برمجة التطبيقات هذه. لمعرفة المزيد، بما في ذلك كيفية اختيار الأذونات، راجع استخدام واجهات برمجة تطبيقات Microsoft Defender لنقطة النهاية.
| نوع الإذن | إذن | اسم عرض الإذن |
|---|---|---|
| Application | Alert.ReadWrite.All | 'قراءة جميع التنبيهات وكتابتها' |
| مفوض (حساب العمل أو المؤسسة التعليمية) | Alert.ReadWrite | "قراءة التنبيهات وكتابتها" |
ملاحظة
عند الحصول على رمز مميز باستخدام بيانات اعتماد المستخدم:
- يحتاج المستخدم إلى الحصول على إذن الدور التالي على الأقل: التحقيق في التنبيهات. لمزيد من المعلومات، راجع إنشاء الأدوار وإدارتها.
- يحتاج المستخدم إلى الوصول إلى الجهاز المقترن بالتنبيه، استنادا إلى إعدادات مجموعة الأجهزة. لمزيد من المعلومات، راجع إنشاء مجموعات الأجهزة وإدارتها.
يتم دعم إنشاء مجموعة الأجهزة في كل من Defender for Endpoint الخطة 1 والخطة 2
طلب HTTP
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
عناوين الطلبات
| الاسم | نوع | الوصف |
|---|---|---|
| إذن | سلسلة | الحامل {token}. مطلوب. |
| نوع المحتوى | سلسلة | application/json. مطلوب. |
نص الطلب
في نص الطلب، قم بتوفير القيم التالية (جميعها مطلوبة):
| مال | نوع | الوصف |
|---|---|---|
| وقت الحدث | التاريخ والوقت (UTC) | الوقت الدقيق للحدث كسلسلة، كما تم الحصول عليه من التتبع المتقدم. على سبيل المثال، 2018-08-03T16:45:21.7115183Zمطلوب. |
| معرف التقرير | سلسلة | معرف التقرير للحدث، كما تم الحصول عليه من التتبع المتقدم. مطلوب. |
| معرف الجهاز | سلسلة | معرف الجهاز الذي تم تحديد الحدث عليه. مطلوب. |
| شده | سلسلة | خطورة التنبيه. قيم الخاصية هي: "منخفض" و"متوسط" و"مرتفع". مطلوب. |
| عنوان | سلسلة | عنوان التنبيه. مطلوب. |
| وصف | سلسلة | وصف التنبيه. مطلوب. |
| الإجراء الموصى به | سلسلة | يحتاج ضابط الأمن إلى اتخاذ هذا الإجراء عند تحليل التنبيه. مطلوب. |
| باب | سلسلة | فئة التنبيه. قيم الخصائص هي: "عام" و"CommandAndControl" و"Collection" و"CredentialAccess" و"DefenseEvasion" و"Discovery" و"Exfiltration" و"Exploit" و"Execution" و"InitialAccess" و"LateralMovement" و"Malware" و"Persistence" و"PrivilegeEscalation" و"Ransomware" و"SuspiciousActivity" مطلوبة. |
استجابه
إذا نجحت، فترجع هذه الطريقة 200 موافق، وعنصر تنبيه جديد في نص الاستجابة. إذا لم يتم العثور على الحدث الذي يحتوي على الخصائص المحددة (reportId و eventTime و machineId) - 404 Not Found.
مثل
طلب
فيما يلي مثال على الطلب.
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
تلميح
هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.