Ilmoituksen ohjelmointirajapinnan luominen
Koskee seuraavia:
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Huomautus
Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint for Us Government -asiakkaille lueteltuja URI-osoitteita.
Vihje
Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Ohjelmointirajapinnan kuvaus
Luo uuden ilmoituksentapahtuman päälle.
- Microsoft Defender for Endpoint -tapahtuma vaaditaan ilmoituksen luontia varten.
- Sinun on pyydettäessä annettava tapahtumasta kolme parametria: Tapahtuman aika, Koneen tunnus ja Raporttitunnus. Katso alla oleva esimerkki.
- Voit käyttää lisämetsästyksen ohjelmointirajapinnassa tai portaalissa olevaa tapahtumaa.
- Jos samassa laitteessa, jolla on sama otsikko, on avoinna oleva ilmoitus, uusi luotu ilmoitus yhdistetään siihen.
- Automaattinen tutkinta käynnistyy automaattisesti API:n kautta luoduissa ilmoituksista.
Rajoitukset
- Tämän ohjelmointirajapinnan nopeusrajoitukset ovat 15 kutsua minuutissa.
Käyttöoikeudet
Tämän ohjelmointirajapinnan kutsumiseen tarvitaan jokin seuraavista käyttöoikeuksista. Lisätietoja käyttöoikeuksien valitsemisesta on artikkelissa Microsoft Defenderin käyttö päätepisteen ohjelmointirajapinnoille.
| Käyttöoikeustyyppi | Lupa | Käyttöoikeuden näyttönimi |
|---|---|---|
| Sovellus | Alert.ReadWrite.All | 'Kaikkien ilmoitusten luku- ja kirjoitusoikeudet' |
| Delegoitu (työpaikan tai oppilaitoksen tili) | Alert.ReadWrite | "Ilmoitusten lukeminen ja kirjoittaminen" |
Huomautus
Kun hankit tunnuksen käyttäjän tunnistetiedoilla:
- Käyttäjällä on oltava vähintään seuraavat roolioikeudet: Ilmoitusten tutkiminen. Lisätietoja on artikkelissa Roolien luominen ja hallinta.
- Käyttäjällä on oltava laitteen ryhmäasetusten perusteella käyttöoikeus hälytykseen liittyvään laitteeseen. Lisätietoja on kohdassa Laiteryhmien luominen ja hallinta.
Laiteryhmän luontia tuetaan sekä Defender for Endpoint -palvelupaketti 1 että palvelupaketti 2
HTTP-pyyntö
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
Pyynnön otsikot
| Nimi | Kirjoita | Kuvaus |
|---|---|---|
| Lupa | Merkkijono | Haltija {token}. Pakollinen. |
| Sisältötyyppi | Merkkijono | application/json. Pakollinen. |
Pyynnön leipäteksti
Anna pyynnön leipätekstissä seuraavat arvot (kaikki ovat pakollisia):
| Ominaisuus | Kirjoita | Kuvaus |
|---|---|---|
| eventTime | DateTime(UTC) | Tapahtuman tarkka aika merkkijonona, joka on saatu kehittyneestä metsästyksestä. Esimerkiksi 2018-08-03T16:45:21.7115183ZPakollinen. |
| reportId | Merkkijono | Tapahtuman reportId, joka on saatu kehittyneestä metsästyksestä. Pakollinen. |
| machineId | Merkkijono | Sen laitteen tunnus, jossa tapahtuma tunnistettiin. Pakollinen. |
| vakavuus | Merkkijono | Hälytyksen vakavuus. Ominaisuuden arvot ovat : Low, Medium ja High. Pakollinen. |
| nimike | Merkkijono | Ilmoituksen otsikko. Pakollinen. |
| kuvaus | Merkkijono | Ilmoituksen kuvaus. Pakollinen. |
| recommendedAction | Merkkijono | Suojausvalvojan on tehtävä tämä toiminto hälytystä analysoitaessa. Pakollinen. |
| luokka | Merkkijono | Hälytyksen luokka. Ominaisuusarvot ovat: "General", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltration", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" pakollinen. |
Vastaus
Jos tämä menetelmä onnistuu, se palauttaa arvon 200 OK ja uuden hälytysobjektin vastauksen leipätekstiin. Jos määritettyjä ominaisuuksia (reportId, eventTime ja machineId) käyttävää tapahtumaa ei löytynyt - 404 Not Found.
Esimerkki
Pyytää
Tässä on esimerkki pyynnöstä.
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.