Upozornění na aktualizaci

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v programu Microsoft Defender for Endpoint pro zákazníky státní správy USA.

Tip

Pro lepší výkon můžete použít server blíže k vašemu geografickému umístění:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Popis rozhraní API

Aktualizuje vlastnosti existující výstrahy.

Odeslání komentáře je k dispozici s aktualizací vlastností nebo bez aktualizace vlastností.

Aktualizovatelné vlastnosti jsou: status, determination, classificationa assignedTo.

Omezení

  1. Upozornění, která jsou k dispozici v rozhraní API, můžete aktualizovat. Další informace najdete v tématu Výpis upozornění.
  2. Omezení rychlosti pro toto rozhraní API jsou 100 volání za minutu a 1500 volání za hodinu.

Oprávnění

K volání tohoto rozhraní API se vyžaduje jedno z následujících oprávnění. Další informace, včetně postupu výběru oprávnění, najdete v tématu Použití rozhraní API Microsoft Defenderu for Endpoint.

Typ oprávnění Povolení Zobrazovaný název oprávnění
Application Alerts.ReadWrite.All Čtení a zápis všech výstrah
Delegovaný (pracovní nebo školní účet) Alert.ReadWrite Upozornění na čtení a zápis

Poznámka

Při získávání tokenu pomocí přihlašovacích údajů uživatele:

  • Uživatel musí mít alespoň následující oprávnění role: Prověřování upozornění (další informace najdete v tématu Vytváření a správa rolí).
  • Uživatel musí mít přístup k zařízení přidruženému k upozornění na základě nastavení skupiny zařízení (další informace najdete v tématu Vytvoření a správa skupin zařízení.

Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Požadavek HTTP

PATCH /api/alerts/{id}

Hlavičky požadavků

Name (Název) Typ Popis
Oprávnění String Nosný {token}. Povinné.
Typ obsahu String application/json. Povinné.

Text požadavku

V textu požadavku zadejte hodnoty pro příslušná pole, která by se měla aktualizovat.

Existující vlastnosti, které nejsou zahrnuté v textu požadavku, si zachovají své předchozí hodnoty nebo se přepočítávají na základě změn jiných hodnot vlastností.

Pro zajištění nejlepšího výkonu byste neměli zahrnout existující hodnoty, které se nezměnily.

Vlastnost Typ Popis
Stav String Určuje aktuální stav výstrahy. Hodnoty vlastností jsou: 'New', 'InProgress' a 'Resolved'.
přiřazeno String Vlastník upozornění
Klasifikace String Určuje specifikaci výstrahy. Hodnoty vlastností jsou: TruePositive, InformationalExpectedActivitya FalsePositive.
Určení String Určuje určení výstrahy.

Možné hodnoty určení pro každou klasifikaci jsou:

  • PravdivěMalware pozitivní: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) a Other (Other).
  • Informační, očekávaná aktivita:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) – zvažte odpovídající změnu názvu výčtu ve veřejném rozhraní API a Other (Jiné).
  • Falešně pozitivní:Not malicious (NotMalicious) – zvažte odpovídající Not enough data to validate změnu názvu výčtu ve veřejném rozhraní API (InsufficientData) a Other (Other).
  • Komentování String Komentář, který se má přidat do upozornění

    Poznámka

    Kolem 29. srpna 2022 budou dříve podporované hodnoty určení výstrah (Apt a SecurityPersonnel) zastaralé a nebudou prostřednictvím rozhraní API dostupné.

    Odpověď

    Pokud je tato metoda úspěšná, vrátí 200 OK a entitu upozornění v těle odpovědi s aktualizovanými vlastnostmi. Pokud se upozornění se zadaným ID nenašlo – 404 Nenalezena.

    Příklad

    Prosba

    Tady je příklad požadavku.

    PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
    
    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    Tip

    Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.