Batch-Aktualisierungswarnungen
Gilt für:
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Hinweis
Wenn Sie ein US Government-Kunde sind, verwenden Sie die URIs, die unter Microsoft Defender für Endpunkt für US Government-Kunden aufgeführt sind.
Tipp
Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-Beschreibung
Aktualisiert die Eigenschaften eines Batches vorhandener Warnungen.
Die Übermittlung von Kommentaren ist mit oder ohne Aktualisierung von Eigenschaften verfügbar.
Aktualisierbare Eigenschaften sind: status, determinationund assignedToclassification .
Begrenzungen
- Sie können Warnungen aktualisieren, die in der API verfügbar sind. Weitere Informationen finden Sie unter Auflisten von Warnungen.
- Die Ratenbeschränkungen für diese API sind 10 Aufrufe pro Minute und 500 Aufrufe pro Stunde.
Berechtigungen
Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Verwenden von Microsoft Defender für Endpunkt-APIs.
| Berechtigungstyp | Berechtigung | Anzeigename der Berechtigung |
|---|---|---|
| App | Alert.ReadWrite.All | "Alle Warnungen lesen und schreiben" |
| Delegiert (Geschäfts-, Schul- oder Unikonto) | Alert.ReadWrite | Warnungen zum Lesen und Schreiben |
Hinweis
Beim Abrufen eines Tokens mit Benutzeranmeldeinformationen:
- Der Benutzer muss mindestens über die folgende Rollenberechtigung verfügen: "Warnungsuntersuchung". Weitere Informationen finden Sie unter Erstellen und Verwalten von Rollen.
- Der Benutzer muss basierend auf den Gerätegruppeneinstellungen Zugriff auf das der Warnung zugeordnete Gerät haben. Weitere Informationen finden Sie unter Erstellen und Verwalten von Gerätegruppen.
Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.
HTTP-Anforderung
POST /api/alerts/batchUpdate
Anforderungsheader
| Name | Typ | Beschreibung |
|---|---|---|
| Authorization | Zeichenfolge | Bearer {token}. Erforderlich. |
| Content-Type | Zeichenfolge | application/json. Erforderlich. |
Anforderungstext
Geben Sie im Anforderungstext die IDs der zu aktualisierenden Warnungen und die Werte der relevanten Felder an, die Sie für diese Warnungen aktualisieren möchten.
Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte bei oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet.
Aus Gründen der Leistung sollten Sie vorhandene Werte, die nicht geändert wurden, nicht angeben.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| alertIds | Listenzeichenfolge<> | Eine Liste der IDs der zu aktualisierenden Warnungen. Erforderlich |
| status | Zeichenfolge | Gibt den aktualisierten Status der angegebenen Warnungen an. Die Eigenschaftswerte sind: "New", "InProgress" und "Resolved". |
| assignedTo | Zeichenfolge | Besitzer der angegebenen Warnungen |
| classification | Zeichenfolge | Gibt die Spezifikation der angegebenen Warnungen an. Die Eigenschaftswerte sind: TruePositive, Informational, expected activityund FalsePositive. |
| Entschlossenheit | Zeichenfolge | Gibt die Bestimmung der angegebenen Warnungen an. Mögliche Bestimmungswerte für jede Klassifizierung sind: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) und Other (Other) zu ändern. Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend und Other (Sonstige) zu ändern. Not malicious (Bereinigen) – Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend (InsufficientData) und Other (Sonstige) zu Not enough data to validate ändern. |
| Kommentar | Zeichenfolge | Kommentar, der den angegebenen Warnungen hinzugefügt werden soll. |
Hinweis
Ab dem 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte ("Apt" und "SecurityPersonnel") veraltet und nicht mehr über die API verfügbar.
Antwort
Bei erfolgreicher Ausführung gibt die Methode 200 OK mit einem leeren Antworttext zurück.
Beispiel
Anforderung
Hier sehen Sie ein Beispiel für die Anforderung.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für