Sdílet prostřednictvím

Upozornění na dávkovou aktualizaci

  • Článek

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v programu Microsoft Defender for Endpoint pro zákazníky státní správy USA.

Tip

Pro lepší výkon můžete použít server blíže k vašemu geografickému umístění:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Popis rozhraní API

Aktualizuje vlastnosti dávky existujících výstrah.

Odeslání komentáře je k dispozici s aktualizací vlastností nebo bez aktualizace vlastností.

Aktualizovatelné vlastnosti jsou: status, determinationclassification a assignedTo.

Omezení

  1. Upozornění, která jsou k dispozici v rozhraní API, můžete aktualizovat. Další informace najdete v tématu Výpis upozornění.
  2. Omezení rychlosti pro toto rozhraní API jsou 10 volání za minutu a 500 volání za hodinu.

Oprávnění

K volání tohoto rozhraní API se vyžaduje jedno z následujících oprávnění. Další informace, včetně postupu výběru oprávnění, najdete v tématu Použití rozhraní API Microsoft Defenderu for Endpoint.

Typ oprávnění Povolení Zobrazovaný název oprávnění
Application Alert.ReadWrite.All Čtení a zápis všech výstrah
Delegovaný (pracovní nebo školní účet) Alert.ReadWrite Upozornění na čtení a zápis

Poznámka

Při získávání tokenu pomocí přihlašovacích údajů uživatele:

  • Uživatel musí mít alespoň následující oprávnění role: "Vyšetřování výstrah". Další informace najdete v tématu Vytváření a správa rolí.
  • Uživatel musí mít přístup k zařízení přidruženému k upozornění na základě nastavení skupiny zařízení. Další informace najdete v tématu Vytváření a správa skupin zařízení.

Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Požadavek HTTP

POST /api/alerts/batchUpdate

Hlavičky požadavků

Name (Název) Typ Popis
Oprávnění String Nosný {token}. Povinné.
Typ obsahu String application/json. Povinné.

Text požadavku

V textu požadavku zadejte ID výstrah, které se mají aktualizovat, a hodnoty příslušných polí, která chcete pro tyto výstrahy aktualizovat.

Existující vlastnosti, které nejsou zahrnuté v textu požadavku, si zachovají své předchozí hodnoty nebo se přepočítávají na základě změn jiných hodnot vlastností.

Pro zajištění nejlepšího výkonu byste neměli zahrnout stávající hodnoty, které se nezměnily.

Vlastnost Typ Popis
alertIds Řetězec seznamu<> Seznam ID upozornění, která se mají aktualizovat. Povinný
stav String Určuje aktualizovaný stav zadaných výstrah. Hodnoty vlastností jsou: 'New', 'InProgress' a 'Resolved'.
přiřazeno String Vlastník zadaných výstrah
klasifikace String Určuje specifikaci zadaných výstrah. Hodnoty vlastností jsou: TruePositive, Informational, expected activitya FalsePositive.
určení String Určuje určení zadaných výstrah.

Možné hodnoty určení pro každou klasifikaci jsou:

  • PravdivěMalware pozitivní: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) a Other (Other).
  • Informační, očekávaná aktivita:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API a Other (Jiné).
  • Falešně pozitivní:Not malicious (Čisté) – zvažte odpovídající Not enough data to validate změnu názvu výčtu ve veřejném rozhraní API (InsufficientData) a Other (Other).
    		•
    komentář String Komentář, který se má přidat do zadaných výstrah.

    Poznámka

    Kolem 29. srpna 2022 budou dříve podporované hodnoty určení výstrah (Apt a SecurityPersonnel) zastaralé a nebudou prostřednictvím rozhraní API dostupné.

    Odpověď

    Pokud je tato metoda úspěšná, vrátí 200 OK s prázdným tělem odpovědi.

    Příklad

    Prosba

    Tady je příklad požadavku.

    POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate

    {
    "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}

    Tip

    Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.