Alertas de actualización por lotes
Se aplica a:
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Nota:
Si es un cliente del Gobierno de EE. UU., use los URI que aparecen en Microsoft Defender para punto de conexión para clientes del Gobierno de EE. UU.
Sugerencia
Para mejorar el rendimiento, puede usar el servidor más cercano a la ubicación geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Descripción de la API
Actualiza las propiedades de un lote de alertas existentes.
El envío de comentario está disponible con o sin actualizar las propiedades.
Las propiedades actualizables son: status, determinationclassification y assignedTo.
Limitaciones
- Puede actualizar las alertas que están disponibles en la API. Para obtener más información, consulte Lista de alertas.
- Las limitaciones de velocidad de esta API son 10 llamadas por minuto y 500 llamadas por hora.
Permisos
Se requiere uno de los siguientes permisos para llamar a esta API. Para más información, incluido cómo elegir permisos, consulte Uso de Las API de Microsoft Defender para punto de conexión.
| Tipo de permiso | Permiso | Nombre para mostrar del permiso |
|---|---|---|
| Aplicación | Alert.ReadWrite.All | "Leer y escribir todas las alertas" |
| Delegado (cuenta profesional o educativa) | Alert.ReadWrite | "Alertas de lectura y escritura" |
Nota:
Al obtener un token con credenciales de usuario:
- El usuario debe tener al menos el siguiente permiso de rol: "Investigación de alertas". Para obtener más información, consulte Creación y administración de roles.
- El usuario debe tener acceso al dispositivo asociado a la alerta, en función de la configuración del grupo de dispositivos. Para obtener más información, consulte Creación y administración de grupos de dispositivos.
La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.
Solicitud HTTP
POST /api/alerts/batchUpdate
Encabezados de solicitud
| Nombre | Tipo | Descripción |
|---|---|---|
| Authorization | Cadena | {token} de portador. Necesario. |
| Content-Type | Cadena | application/json. Necesario. |
Cuerpo de la solicitud
En el cuerpo de la solicitud, proporcione los identificadores de las alertas que se van a actualizar y los valores de los campos pertinentes que desea actualizar para estas alertas.
Las propiedades existentes que no se incluyen en el cuerpo de la solicitud mantendrán sus valores anteriores o se volverán a calcular en función de los cambios realizados en otros valores de propiedad.
Para obtener el mejor rendimiento no debe incluir valores existentes que no hayan cambiado.
| Propiedad | Tipo | Descripción |
|---|---|---|
| alertIds | Cadena de lista<> | Una lista de los identificadores de las alertas que se van a actualizar. Required |
| status | Cadena | Especifica el estado actualizado de las alertas especificadas. Los valores de propiedad son: "New", "InProgress" y "Resolved". |
| assignedTo | Cadena | Propietario de las alertas especificadas |
| classification | String | Especifica la especificación de las alertas especificadas. Los valores de propiedad son: TruePositive, Informational, expected activityy FalsePositive. |
| determinación | Cadena | Especifica la determinación de las alertas especificadas. Los valores de determinación posibles para cada clasificación son: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) y Other (Other). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia y Other (Otros). Not malicious (Limpiar): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Not enough data to validate (InsufficientData) y Other (Other). |
| comentario | Cadena | Comentario que se va a agregar a las alertas especificadas. |
Nota:
Alrededor del 29 de agosto de 2022, los valores de determinación de alertas admitidos anteriormente ("Apt" y "SecurityPersonnel") estarán en desuso y ya no estarán disponibles a través de la API.
Respuesta
Si se ejecuta correctamente, este método devuelve 200 OK, con un cuerpo de respuesta vacío.
Ejemplo
Solicitud
Este es un ejemplo de la solicitud.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.