Compartir vía


Actualizar alerta

Se aplica a:

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Nota:

Si es un cliente del Gobierno de EE. UU., use los URI que aparecen en Microsoft Defender para punto de conexión para clientes del Gobierno de EE. UU.

Sugerencia

Para mejorar el rendimiento, puede usar el servidor más cercano a la ubicación geográfica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Descripción de la API

Actualiza las propiedades de la alerta existente.

El envío de comentario está disponible con o sin actualizar las propiedades.

Las propiedades actualizables son: status, determination, classificationy assignedTo.

Limitaciones

  1. Puede actualizar las alertas que están disponibles en la API. Para obtener más información, consulte Lista de alertas.
  2. Las limitaciones de velocidad de esta API son 100 llamadas por minuto y 1500 llamadas por hora.

Permisos

Se requiere uno de los siguientes permisos para llamar a esta API. Para más información, incluido cómo elegir permisos, consulte Uso de Las API de Microsoft Defender para punto de conexión.

Tipo de permiso Permiso Nombre para mostrar del permiso
Aplicación Alerts.ReadWrite.All "Leer y escribir todas las alertas"
Delegado (cuenta profesional o educativa) Alert.ReadWrite "Alertas de lectura y escritura"

Nota:

Al obtener un token con credenciales de usuario:

La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.

Solicitud HTTP

PATCH /api/alerts/{id}

Encabezados de solicitud

Nombre Tipo Descripción
Authorization Cadena {token} de portador. Necesario.
Content-Type Cadena application/json. Necesario.

Cuerpo de la solicitud

En el cuerpo de la solicitud, proporcione los valores de los campos pertinentes que se deben actualizar.

Las propiedades existentes que no se incluyen en el cuerpo de la solicitud mantendrán sus valores anteriores o se volverán a calcular en función de los cambios realizados en otros valores de propiedad.

Para obtener el mejor rendimiento, no debe incluir valores existentes que no hayan cambiado.

Propiedad Tipo Descripción
Estado Cadena Especifica el estado actual de la alerta. Los valores de propiedad son: "New", "InProgress" y "Resolved".
assignedTo Cadena Propietario de la alerta
Clasificación Cadena Especifica la especificación de la alerta. Los valores de propiedad son: TruePositive, InformationalExpectedActivityy FalsePositive.
Determinación Cadena Especifica la determinación de la alerta.

Los valores de determinación posibles para cada clasificación son:

  • Verdadero positivo: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) y Other (Other).
  • Actividad informativa y esperada:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia y Other (Otros).
  • Falso positivo:Not malicious (NotMalicious): considere la posibilidad de cambiar el nombre de la enumeración en la API pública en consecuencia, Not enough data to validate (InsufficientData) y Other (Other).
  • Comentario Cadena Comentario que se va a agregar a la alerta.

    Nota:

    Alrededor del 29 de agosto de 2022, los valores de determinación de alertas admitidos anteriormente ("Apt" y "SecurityPersonnel") estarán en desuso y ya no estarán disponibles a través de la API.

    Respuesta

    Si se ejecuta correctamente, este método devuelve 200 OK y la entidad de alerta en el cuerpo de la respuesta con las propiedades actualizadas. Si no se encontró la alerta con el identificador especificado: 404 No encontrado.

    Ejemplo

    Solicitud

    Este es un ejemplo de la solicitud.

    PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
    
    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    Sugerencia

    ¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.