Actualizar alerta

  • Artículo

Espacio de nombres: microsoft.graph

Actualice una propiedad de alerta editable dentro de cualquier solución integrada para mantener sincronizadas las asignaciones y el estado de las alertas entre soluciones. Este método actualiza cualquier solución que tenga un registro del identificador de alerta al que se hace referencia.

Esta API está disponible en las siguientes implementaciones nacionales de nube.

Servicio global Gobierno de EE. UU. L4 Us Government L5 (DOD) China operada por 21Vianet

Permissions

Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.

Tipo de permiso Permisos con privilegios mínimos Permisos con privilegios más altos
Delegado (cuenta profesional o educativa) SecurityEvents.ReadWrite.All No disponible.
Delegado (cuenta personal de Microsoft) No admitida. No admitida.
Aplicación SecurityEvents.ReadWrite.All No disponible.

Solicitud HTTP

Nota: Debe incluir el identificador de alerta como parámetro y vendorInformation que contiene provider y vendor con este método.

PATCH /security/alerts/{alert_id}

Encabezados de solicitud

Nombre Descripción
Autorización {code} del portador. Necesario.
Prefer return=representation. Opcional.

Cuerpo de la solicitud

En el cuerpo de la solicitud, proporcione una representación JSON de los valores de los campos pertinentes que se deben actualizar. El cuerpo debe contener la propiedad vendorInformation con campos y vendor válidosprovider. En la tabla siguiente se enumeran los campos que se pueden actualizar para una alerta. Los valores de las propiedades existentes que no se incluyen en el cuerpo de la solicitud no cambiarán. Para obtener el mejor rendimiento, no incluya valores existentes que no hayan cambiado.

Propiedad Tipo Descripción
assignedTo Cadena Nombre del analista al que se asigna la alerta para la evaluación de prioridades, investigación o corrección.
closedDateTime DateTimeOffset Hora en que se cerró la alerta. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z.
comments Colección String Comentarios del analista sobre la alerta (para la administración de alertas del cliente). Este método puede actualizar el campo de comentarios solo con los siguientes valores: Closed in IPC, Closed in MCAS.
feedback alertFeedback Comentarios del analista sobre la alerta. Los valores posibles son: unknown, truePositive, falsePositive y benignPositive.
status alertStatus Estado del ciclo de vida de la alerta (fase). Los valores posibles son: unknown, newAlert, inProgress y resolved.
tags Colección string Etiquetas definibles por el usuario que se pueden aplicar a una alerta y pueden servir como condiciones de filtro (por ejemplo, "HVA", "SAW".
vendorInformation securityVendorInformation Tipo complejo que contiene detalles sobre el proveedor, proveedor y subprovider del producto o servicio de seguridad (por ejemplo, vendor=Microsoft; provider=Windows Defender ATP). subProvider=AppLocker Los campos proveedor y proveedor son obligatorios.

Respuesta

Si se ejecuta correctamente, este método devuelve un código de respuesta 204 No Content.

Si se usa el encabezado de solicitud opcional, el método devuelve un 200 OK código de respuesta y un objeto de alerta actualizado en el cuerpo de la respuesta.

Ejemplos

Ejemplo 1: Solicitud sin encabezado Prefer

Solicitud

En el ejemplo siguiente se muestra la solicitud.

PATCH https://graph.microsoft.com/v1.0/security/alerts/{alert_id}
Content-type: application/json

{
  "assignedTo": "String",
  "closedDateTime": "String (timestamp)",
  "comments": [
    "String"
  ],
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": [
    "String"
  ],
  "vendorInformation": {
    "provider": "String",
    "vendor": "String"
  }
}

Respuesta

Aquí se muestra el ejemplo de una respuesta correcta.

HTTP/1.1 204 No Content

Ejemplo 2: Solicitud con encabezado Prefer

Solicitud

En el ejemplo siguiente se muestra una solicitud que incluye el encabezado de solicitud Prefer .

PATCH https://graph.microsoft.com/v1.0/security/alerts/{alert_id}
Content-type: application/json
Prefer: return=representation

{
  "assignedTo": "String",
  "closedDateTime": "String (timestamp)",
  "comments": [
    "String"
  ],
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": [
    "String"
  ],
  "vendorInformation": {
    "provider": "String",
    "vendor": "String"
  }
}

Respuesta

A continuación se muestra un ejemplo de la respuesta cuando se usa el encabezado de solicitud opcional Prefer: return=representation .

Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.

HTTP/1.1 200 OK
Content-type: application/json

{
  "activityGroupName": "activityGroupName-value",
  "assignedTo": "assignedTo-value",
  "azureSubscriptionId": "azureSubscriptionId-value",
  "azureTenantId": "azureTenantId-value",
  "category": "category-value",
  "closedDateTime": "datetime-value"
}