Jaa


Eräpäivitysilmoitukset

Koskee seuraavia:

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint for Us Government -asiakkaille lueteltuja URI-osoitteita.

Vihje

Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Ohjelmointirajapinnan kuvaus

Päivittää olemassa olevien ilmoitusten erän ominaisuudet.

Kommentin lähettäminen on käytettävissä ominaisuuksien päivittämisen yhteydessä tai ilman sitä.

Updatable-ominaisuudet ovat : status, determinationja assignedToclassification .

Rajoitukset

  1. Voit päivittää ilmoituksia, jotka ovat käytettävissä ohjelmointirajapinnassa. Lisätietoja on kohdassa Luetteloilmoitukset.
  2. Tämän ohjelmointirajapinnan nopeusrajoitukset ovat 10 puhelua minuutissa ja 500 puhelua tunnissa.

Käyttöoikeudet

Tämän ohjelmointirajapinnan kutsumiseen tarvitaan jokin seuraavista käyttöoikeuksista. Lisätietoja, mukaan lukien käyttöoikeuksien valitseminen, on artikkelissa Microsoft Defenderin käyttö päätepisteiden ohjelmointirajapinnoille

Käyttöoikeustyyppi Lupa Käyttöoikeuden näyttönimi
Sovellus Alert.ReadWrite.All 'Kaikkien ilmoitusten luku- ja kirjoitusoikeudet'
Delegoitu (työpaikan tai oppilaitoksen tili) Alert.ReadWrite "Ilmoitusten lukeminen ja kirjoittaminen"

Huomautus

Kun hankit tunnuksen käyttäjän tunnistetiedoilla:

  • Käyttäjällä on oltava vähintään seuraava roolioikeus: "Ilmoitusten tutkinta". Lisätietoja on artikkelissa Roolien luominen ja hallinta.
  • Käyttäjällä on oltava laitteen ryhmäasetusten perusteella käyttöoikeus hälytykseen liittyvään laitteeseen. Lisätietoja on kohdassa Laiteryhmien luominen ja hallinta.

Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

HTTP-pyyntö

POST /api/alerts/batchUpdate

Pyynnön otsikot

Nimi Kirjoita Kuvaus
Lupa Merkkijono Haltija {token}. Pakollinen.
Sisältötyyppi Merkkijono application/json. Pakollinen.

Pyynnön leipäteksti

Anna pyynnön leipätekstissä päivitettävien ilmoitusten tunnukset ja niiden kenttien arvot, jotka haluat päivittää näiden ilmoitusten osalta.

Olemassa olevat ominaisuudet, jotka eivät sisälly pyynnön runkoon, säilyttävät aiemmat arvonsa tai ne lasketaan uudelleen muiden ominaisuuksien arvojen muutosten perusteella.

Parhaan suorituskyvyn takaaksi sinun ei pitäisi sisältää olemassa olevia arvoja, jotka eivät ole muuttuneet.

Ominaisuus Kirjoita Kuvaus
alertIds Luettelomerkkijono<> Luettelo päivitettävien ilmoitusten tunnuksista. Pakollinen
tila Merkkijono Määrittää määritettyjen ilmoitusten päivitetyn tilan. Ominaisuuden arvot ovat New, InProgress ja Resolved.
assignedTo Merkkijono Määritettyjen ilmoitusten omistaja
luokitus Merkkijono Määrittää määritettyjen ilmoitusten määrityksen. Ominaisuuden arvot ovat : TruePositive, Informational, expected activityja FalsePositive.
määrätietoisuus Merkkijono Määrittää määritettyjen ilmoitusten määrittämisen.

Kunkin luokituksen mahdolliset määritysarvot ovat seuraavat:

  • Tosi positiivinen: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Malware (Haittaohjelma), Phishing (Tietojenkalastelu), Unwanted software (Ei-toivottuOhjelmisto) ja Other (Muu).
  • Tietoinen, odotettu toiminto:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti ja Other (Muu).
  • Epätosi-positiivinen:Not malicious (Puhdas) - harkitse luetteloinnin nimen muuttamista julkisessa ohjelmointirajapinnassa vastaavasti, Not enough data to validate (InsufficientData) ja Other (Muu).
  • kommentti Merkkijono Määritettyihin ilmoituksia varten lisättävä kommentti.

    Huomautus

    Noin 29.8.2022 aiemmin tuetut hälytysten määritysarvot (Apt ja SecurityPersonnel) poistetaan käytöstä, eivätkä ne ole enää käytettävissä ohjelmointirajapinnan kautta.

    Vastaus

    Jos tämä menetelmä onnistuu, se palauttaa arvon 200 OK ja tyhjän vastauksen leipätekstin.

    Esimerkki

    Pyytää

    Tässä on esimerkki pyynnöstä.

    POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
    
    {
        "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    Vihje

    Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.