Batch-Aktualisierungswarnungen

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie die URIs, die unter Microsoft Defender für Endpunkt für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

API-Beschreibung

Aktualisiert die Eigenschaften eines Batches vorhandener Warnungen.

Die Übermittlung von Kommentaren ist mit oder ohne Aktualisierung von Eigenschaften verfügbar.

Aktualisierbare Eigenschaften sind: status, determinationund assignedToclassification .

Begrenzungen

1. Sie können Warnungen aktualisieren, die in der API verfügbar sind. Weitere Informationen finden Sie unter Auflisten von Warnungen.
2. Die Ratenbeschränkungen für diese API sind 10 Aufrufe pro Minute und 500 Aufrufe pro Stunde.

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Verwenden von Microsoft Defender für Endpunkt-APIs.

Berechtigungstyp	Berechtigung	Anzeigename der Berechtigung
App	Alert.ReadWrite.All	"Alle Warnungen lesen und schreiben"
Delegiert (Geschäfts-, Schul- oder Unikonto)	Alert.ReadWrite	Warnungen zum Lesen und Schreiben

Hinweis

Beim Abrufen eines Tokens mit Benutzeranmeldeinformationen:

• Der Benutzer muss mindestens über die folgende Rollenberechtigung verfügen: "Warnungsuntersuchung". Weitere Informationen finden Sie unter Erstellen und Verwalten von Rollen.
• Der Benutzer muss basierend auf den Gerätegruppeneinstellungen Zugriff auf das der Warnung zugeordnete Gerät haben. Weitere Informationen finden Sie unter Erstellen und Verwalten von Gerätegruppen.

Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.

HTTP-Anforderung

POST /api/alerts/batchUpdate

Anforderungsheader

Name	Typ	Beschreibung
Authorization	Zeichenfolge	Bearer {token}. Erforderlich.
Content-Type	Zeichenfolge	application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext die IDs der zu aktualisierenden Warnungen und die Werte der relevanten Felder an, die Sie für diese Warnungen aktualisieren möchten.

Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte bei oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet.

Aus Gründen der Leistung sollten Sie vorhandene Werte, die nicht geändert wurden, nicht angeben.

Eigenschaft	Typ	Beschreibung
alertIds	Listenzeichenfolge<>	Eine Liste der IDs der zu aktualisierenden Warnungen. Erforderlich
status	Zeichenfolge	Gibt den aktualisierten Status der angegebenen Warnungen an. Die Eigenschaftswerte sind: "New", "InProgress" und "Resolved".
assignedTo	Zeichenfolge	Besitzer der angegebenen Warnungen
classification	Zeichenfolge	Gibt die Spezifikation der angegebenen Warnungen an. Die Eigenschaftswerte sind: TruePositive, Informational, expected activityund FalsePositive.
Entschlossenheit	Zeichenfolge	Gibt die Bestimmung der angegebenen Warnungen an. Mögliche Bestimmungswerte für jede Klassifizierung sind: Richtig positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) und Other (Other) zu ändern. Information, erwartete Aktivität:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend und Other (Sonstige) zu ändern. Falsch positiv:Not malicious (Bereinigen) – Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend (InsufficientData) und Other (Sonstige) zu Not enough data to validate ändern.
Kommentar	Zeichenfolge	Kommentar, der den angegebenen Warnungen hinzugefügt werden soll.

Hinweis

Ab dem 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte ("Apt" und "SecurityPersonnel") veraltet und nicht mehr über die API verfügbar.

Antwort

Bei erfolgreicher Ausführung gibt die Methode 200 OK mit einem leeren Antworttext zurück.

Beispiel

Anforderung

Hier sehen Sie ein Beispiel für die Anforderung.

POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate

{
    "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.