Opdater besked
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Bemærk!
Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for US Government-kunder.
Tip
For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-beskrivelse
Opdaterer egenskaber for eksisterende besked.
Indsendelse af kommentar er tilgængelig med eller uden at opdatere egenskaber.
Egenskaber, der kan opdateres, er: status, determination, classificationog assignedTo.
Begrænsninger
- Du kan opdatere beskeder, der er tilgængelige i API'en. Du kan få flere oplysninger under Listebeskeder.
- Hastighedsbegrænsninger for denne API er 100 opkald pr. minut og 1500 opkald pr. time.
Tilladelser
En af følgende tilladelser er påkrævet for at kalde denne API. Hvis du vil vide mere, herunder hvordan du vælger tilladelser, skal du se Brug Microsoft Defender til Slutpunkt-API'er
| Tilladelsestype | Tilladelse | Vist navn for tilladelse |
|---|---|---|
| Program | Alerts.ReadWrite.All | 'Læs og skriv til alle beskeder' |
| Uddelegeret (arbejds- eller skolekonto) | Alert.ReadWrite | 'Læs og skriv beskeder' |
Bemærk!
Når du henter et token ved hjælp af brugerlegitimationsoplysninger:
- Brugeren skal som minimum have følgende rolletilladelse: 'Undersøgelse af beskeder' (du kan få flere oplysninger under Opret og administrer roller)
- Brugeren skal have adgang til den enhed, der er knyttet til beskeden, baseret på indstillingerne for enhedsgrupper (du kan få flere oplysninger under Opret og administrer enhedsgrupper
Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.
HTTP-anmodning
PATCH /api/alerts/{id}
Anmodningsheadere
| Navn | Type | Beskrivelse |
|---|---|---|
| Autorisation | String | Ihændehaver {token}. Påkrævet. |
| Indholdstype | String | application/json. Påkrævet. |
Brødtekst i anmodning
Angiv værdierne for de relevante felter, der skal opdateres, i anmodningens brødtekst.
Eksisterende egenskaber, der ikke er inkluderet i anmodningens brødtekst, bevarer deres tidligere værdier eller genberegnes på baggrund af ændringer af andre egenskabsværdier.
Hvis du vil opnå den bedste ydeevne, skal du ikke inkludere eksisterende værdier, der ikke er blevet ændret.
| Egenskab | Type | Beskrivelse |
|---|---|---|
| Status | String | Angiver den aktuelle status for beskeden. Egenskabsværdierne er: 'New', 'InProgress' og 'Resolved'. |
| tildelt til | String | Ejer af beskeden |
| Klassifikation | String | Angiver angivelsen af beskeden. Egenskabsværdierne er: TruePositive, InformationalExpectedActivityog FalsePositive. |
| Bestemmelse | String | Angiver bestemmelsen af beskeden. De mulige bestemmelsesværdier for hver klassificering er: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Malware Malware), Phishing (Phishing), Unwanted software (Uønsket software) og Other (Andet). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) – overvej at ændre optællingsnavnet i den offentlige API tilsvarende og Other (Andet). Not malicious (NotMalicious) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed Not enough data to validate (InsufficientData) og Other (Other). |
| Kommenter | String | Kommentar, der skal føjes til beskeden. |
Bemærk!
Omkring den 29. august 2022 frarådes tidligere understøttede værdier for bestemmelse af beskeder ('Apt' og 'SecurityPersonnel') og er ikke længere tilgængelige via API'en.
Svar
Hvis det lykkes, returnerer denne metode 200 OK og beskedenheden i svarbrødteksten med de opdaterede egenskaber. Hvis der ikke blev fundet en besked med det angivne id - 404 blev ikke fundet.
Eksempel
Bøn
Her er et eksempel på anmodningen.
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.