Freigeben über


Warnung aktualisieren

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie bitte die URIs, die in Microsoft Defender for Endpoint für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

API-Beschreibung

Updates Eigenschaften vorhandener Warnungen.

Die Übermittlung von Kommentaren ist mit oder ohne Aktualisierung von Eigenschaften verfügbar.

Aktualisierbare Eigenschaften sind: status, determination, classificationund assignedTo.

Begrenzungen

  1. Sie können Warnungen aktualisieren, die in der API verfügbar sind. Weitere Informationen finden Sie unter Auflisten von Warnungen.
  2. Ratenbeschränkungen für diese API sind 100 Aufrufe pro Minute und 1500 Aufrufe pro Stunde.

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Verwenden von Microsoft Defender for Endpoint-APIs.

Berechtigungstyp Berechtigung Anzeigename der Berechtigung
App Alerts.ReadWrite.All "Alle Warnungen lesen und schreiben"
Delegiert (Geschäfts-, Schul- oder Unikonto) Alert.ReadWrite Warnungen zum Lesen und Schreiben

Hinweis

Beim Abrufen eines Tokens mit Benutzeranmeldeinformationen:

  • Der Benutzer muss mindestens über die folgende Rollenberechtigung verfügen: "Warnungsuntersuchung" (weitere Informationen finden Sie unter Create und Verwalten von Rollen).
  • Der Benutzer muss basierend auf den Gerätegruppeneinstellungen Zugriff auf das der Warnung zugeordnete Gerät haben (weitere Informationen finden Sie unter Create und Verwalten von Gerätegruppen.

Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.

HTTP-Anforderung

PATCH /api/alerts/{id}

Anforderungsheader

Name Typ Beschreibung
Authorization String Bearer {token}. Erforderlich.
Content-Type Zeichenfolge application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext die Werte für die relevanten Felder an, die aktualisiert werden sollen.

Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte bei oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet.

Um eine optimale Leistung zu erzielen, sollten Sie keine vorhandenen Werte einschließen, die sich nicht geändert haben.

Eigenschaft Typ Beschreibung
Status String Gibt die aktuelle status der Warnung an. Die Eigenschaftswerte sind: "New", "InProgress" und "Resolved".
assignedTo String Besitzer der Warnung
Klassifizierung String Gibt die Spezifikation der Warnung an. Die Eigenschaftswerte sind: TruePositive, InformationalExpectedActivityund FalsePositive.
Bestimmung String Gibt die Bestimmung der Warnung an.

Mögliche Bestimmungswerte für jede Klassifizierung sind:

  • Richtig positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) und Other (Other) zu ändern.
  • Information, erwartete Aktivität:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend und Other (Sonstige) zu ändern.
  • Falsch positiv:Not malicious (NotMalicious): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend Not enough data to validate (InsufficientData) und Other (Other) zu ändern.
  • Kommentar Zeichenfolge Kommentar, der der Warnung hinzugefügt werden soll.

    Hinweis

    Ab dem 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte ("Apt" und "SecurityPersonnel") veraltet und nicht mehr über die API verfügbar.

    Antwort

    Bei erfolgreicher Ausführung gibt die Methode 200 OK und die Warnungsentität im Antworttext mit den aktualisierten Eigenschaften zurück. Wenn die Warnung mit der angegebenen ID nicht gefunden wurde– 404 Nicht gefunden.

    Beispiel

    Anforderung

    Hier sehen Sie ein Beispiel für die Anforderung.

    PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
    
    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    Tipp

    Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.