Vytvoření rozhraní API pro upozornění
Platí pro:
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Poznámka
Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v programu Microsoft Defender for Endpoint pro zákazníky státní správy USA.
Tip
Pro lepší výkon můžete použít server blíže k vašemu geografickému umístění:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Popis rozhraní API
Vytvoří nové upozornění nad událostí.
- K vytvoření upozornění se vyžaduje událost Microsoft Defenderu for Endpoint.
- V požadavku musíte z události zadat tři parametry: Čas události, ID počítače a ID sestavy. Podívejte se na příklad níže.
- Můžete použít událost, kterou najdete v rozhraní API pro pokročilé proaktivní vyhledávání nebo na portálu.
- Pokud na stejném zařízení se stejným názvem existuje otevřené upozornění, nově vytvořené upozornění se s ním sloučí.
- Automatické prověřování se spustí automaticky u výstrah vytvořených prostřednictvím rozhraní API.
Omezení
- Omezení rychlosti pro toto rozhraní API jsou 15 volání za minutu.
Oprávnění
K volání tohoto rozhraní API se vyžaduje jedno z následujících oprávnění. Další informace, včetně toho, jak zvolit oprávnění, najdete v tématu Použití rozhraní API Microsoft Defenderu for Endpoint.
| Typ oprávnění | Povolení | Zobrazovaný název oprávnění |
|---|---|---|
| Application | Alert.ReadWrite.All | Čtení a zápis všech výstrah |
| Delegovaný (pracovní nebo školní účet) | Alert.ReadWrite | Upozornění na čtení a zápis |
Poznámka
Při získávání tokenu pomocí přihlašovacích údajů uživatele:
- Uživatel musí mít alespoň následující oprávnění role: Prověřování výstrah. Další informace najdete v tématu Vytváření a správa rolí.
- Uživatel musí mít přístup k zařízení přidruženému k upozornění na základě nastavení skupiny zařízení. Další informace najdete v tématu Vytváření a správa skupin zařízení.
Vytvoření skupiny zařízení se podporuje v Defenderu for Endpoint Plan 1 i Plan 2.
Požadavek HTTP
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
Hlavičky požadavků
| Name (Název) | Typ | Popis |
|---|---|---|
| Oprávnění | String | Nosný {token}. Povinné. |
| Typ obsahu | String | application/json. Povinné. |
Text požadavku
V textu požadavku zadejte následující hodnoty (všechny jsou povinné):
| Vlastnost | Typ | Popis |
|---|---|---|
| eventTime | DateTime(UTC) | Přesný čas události jako řetězce, získaný z rozšířeného proaktivního vyhledávání. Například 2018-08-03T16:45:21.7115183ZPovinné. |
| id sestavy | String | ReportId události získané z rozšířeného proaktivního vyhledávání. Povinné. |
| id počítače | String | ID zařízení, na kterém byla událost identifikována. Povinné. |
| závažnost | String | Závažnost výstrahy. Hodnoty vlastností jsou: "Low", 'Medium' a 'High'. Povinné. |
| titul | String | Název upozornění Povinné. |
| description | String | Popis výstrahy Povinné. |
| recommendedAction | String | Při analýze výstrahy musí bezpečnostní pracovník provést tuto akci. Povinné. |
| kategorie | String | Kategorie výstrahy. Hodnoty vlastností jsou: "General", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltration", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" Povinné. |
Odpověď
Pokud je tato metoda úspěšná, vrátí 200 OK a nový objekt výstrahy v těle odpovědi. Pokud nebyla nalezena událost se zadanými vlastnostmi (reportId, eventTime a machineId), 404 Nenalezena.
Příklad
Prosba
Tady je příklad požadavku.
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.