Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Ohjelmointirajapinnan kuvaus
Luo uuden ilmoituksentapahtuman päälle.
- Microsoft Defender for Endpoint Ilmoituksen luomisessa tarvitaan tapahtuma.
- Sinun on pyydettäessä annettava tapahtumasta kolme parametria: Tapahtuman aika, Koneen tunnus ja Raporttitunnus. Katso alla oleva esimerkki.
- Voit käyttää lisämetsästyksen ohjelmointirajapinnassa tai portaalissa olevaa tapahtumaa.
- Jos samassa laitteessa, jolla on sama otsikko, on avoinna oleva ilmoitus, uusi luotu ilmoitus yhdistetään siihen.
- Automaattinen tutkinta käynnistyy automaattisesti API:n kautta luoduissa ilmoituksista.
Rajoitukset
Tämän ohjelmointirajapinnan nopeusrajoitukset ovat 15 kutsua minuutissa.
Käyttöoikeudet
Kun hankit tunnuksen käyttäjän tunnistetiedoilla:
Käyttäjällä on oltava vähintään seuraavat roolioikeudet: Ilmoitusten tutkiminen. Lisätietoja on artikkelissa Roolien luominen ja hallinta.
Käyttäjällä on oltava laitteen ryhmäasetusten perusteella käyttöoikeus hälytykseen liittyvään laitteeseen. Lisätietoja on kohdassa Laiteryhmien luominen ja hallinta.
Tämän ohjelmointirajapinnan kutsumiseen tarvitaan jokin seuraavista käyttöoikeuksista. Lisätietoja käyttöoikeuksien valitsemisesta on kohdassa Microsoft Defender for Endpoint-ohjelmointirajapintoja.
| Käyttöoikeustyyppi | Lupaa | Käyttöoikeuden näyttönimi |
|---|---|---|
| Sovellus | Alert.ReadWrite.All | 'Kaikkien ilmoitusten luku- ja kirjoitusoikeudet' |
| Delegoitu (työpaikan tai oppilaitoksen tili) | Alert.ReadWrite | "Ilmoitusten lukeminen ja kirjoittaminen" |
HTTP-pyyntö
POST https://api.security.microsoft.com/api/alerts/CreateAlertByReference
Pyynnön otsikot
| Nimi | Kirjoita | Kuvaus |
|---|---|---|
| Lupa | Merkkijono | Haltija {token}. Pakollinen. |
| Sisältötyyppi | Merkkijono | application/json. Pakollinen. |
Pyynnön leipäteksti
Anna pyynnön leipätekstissä seuraavat arvot (kaikki ovat pakollisia):
| Ominaisuus | Kirjoita | Kuvaus |
|---|---|---|
| eventTime | DateTime(UTC) | Tapahtuman tarkka aika merkkijonona, joka on saatu kehittyneestä metsästyksestä. Esimerkiksi 2018-08-03T16:45:21.7115183Z.
Pakollinen. |
| reportId | Merkkijono | Tapahtuman reportId, joka on saatu kehittyneestä metsästyksestä. Pakollinen. |
| machineId | Merkkijono | Sen laitteen tunnus, jossa tapahtuma tunnistettiin. Pakollinen. |
| Vakavuus | Merkkijono | Hälytyksen vakavuus. Ominaisuuden arvot ovat : Low, Medium ja High. Pakollinen. |
| Otsikko | Merkkijono | Ilmoituksen otsikko. Pakollinen. |
| Kuvaus | Merkkijono | Ilmoituksen kuvaus. Pakollinen. |
| recommendedAction | Merkkijono | Suojausvalvojan on tehtävä tämä toiminto hälytystä analysoitaessa. Pakollinen. |
| Luokka | Merkkijono | Hälytyksen luokka. Ominaisuusarvot ovat: "General", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltration", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" pakollinen. |
Vastaus
Jos tämä menetelmä onnistuu, se palauttaa arvon 200 OK ja uuden hälytysobjektin vastauksen leipätekstiin. Jos määritettyjä ominaisuuksia (reportId, eventTime ja machineId) käyttävää tapahtumaa ei löytynyt - 404 Not Found.
Esimerkki
Pyyntö
Tässä on esimerkki pyynnöstä.
POST https://api.security.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}