Del via


Beskeder om batchopdatering

Gælder for:

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Bemærk!

Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for US Government-kunder.

Tip

For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-beskrivelse

Opdaterer egenskaberne for en batch af eksisterende beskeder.

Indsendelse af kommentar er tilgængelig med eller uden at opdatere egenskaber.

Egenskaber, der kan opdateres, er: status, determinationclassification og assignedTo.

Begrænsninger

  1. Du kan opdatere beskeder, der er tilgængelige i API'en. Du kan få flere oplysninger under Listebeskeder.
  2. Hastighedsbegrænsninger for denne API er 10 kald pr. minut og 500 opkald pr. time.

Tilladelser

En af følgende tilladelser er påkrævet for at kalde denne API. Hvis du vil vide mere, herunder hvordan du vælger tilladelser, skal du se Brug Microsoft Defender til Slutpunkt-API'er

Tilladelsestype Tilladelse Vist navn for tilladelse
Program Alert.ReadWrite.All 'Læs og skriv til alle beskeder'
Uddelegeret (arbejds- eller skolekonto) Alert.ReadWrite 'Læs og skriv beskeder'

Bemærk!

Når du henter et token ved hjælp af brugerlegitimationsoplysninger:

  • Brugeren skal som minimum have følgende rolletilladelse: 'Undersøgelse af beskeder'. Du kan få flere oplysninger under Opret og administrer roller.
  • Brugeren skal have adgang til den enhed, der er knyttet til beskeden, baseret på indstillingerne for enhedsgruppe. Du kan få flere oplysninger under Opret og administrer enhedsgrupper.

Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.

HTTP-anmodning

POST /api/alerts/batchUpdate

Anmodningsheadere

Navn Type Beskrivelse
Autorisation String Ihændehaver {token}. Påkrævet.
Indholdstype String application/json. Påkrævet.

Brødtekst i anmodning

I anmodningens brødtekst skal du angive id'erne for de beskeder, der skal opdateres, og værdierne for de relevante felter, du vil opdatere for disse beskeder.

Eksisterende egenskaber, der ikke er inkluderet i anmodningens brødtekst, bevarer deres tidligere værdier eller genberegnes på baggrund af ændringer af andre egenskabsværdier.

For at opnå den bedste ydeevne skal du ikke inkludere eksisterende værdier, der ikke er blevet ændret.

Egenskab Type Beskrivelse
alertIds Listestreng<> En liste over id'erne for de beskeder, der skal opdateres. Påkrævet
status String Angiver den opdaterede status for de angivne beskeder. Egenskabsværdierne er: 'New', 'InProgress' og 'Resolved'.
tildelt til String Ejer af de angivne beskeder
klassifikation String Angiver specifikationen af de angivne beskeder. Egenskabsværdierne er: TruePositive, Informational, expected activityog FalsePositive.
bestemmelse String Angiver bestemmelse af de angivne beskeder.

De mulige bestemmelsesværdier for hver klassificering er:

  • Sand positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Malware Malware), Phishing (Phishing), Unwanted software (Uønsket software) og Other (Andet).
  • Oplysende, forventet aktivitet:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – overvej at ændre optællingsnavnet i den offentlige API tilsvarende og Other (Andet).
  • Falsk positiv:Not malicious (Clean) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Not enough data to validate InsufficientData) og Other (Other).
  • kommentar String Kommentar, der skal føjes til de angivne beskeder.

    Bemærk!

    Omkring den 29. august 2022 frarådes tidligere understøttede værdier for bestemmelse af beskeder ('Apt' og 'SecurityPersonnel') og er ikke længere tilgængelige via API'en.

    Svar

    Hvis det lykkes, returnerer denne metode 200 OK med en tom svartekst.

    Eksempel

    Bøn

    Her er et eksempel på anmodningen.

    POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
    
    {
        "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    Tip

    Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.