עדכן התראה
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
הערה
אם אתה לקוח של ממשלת ארה"ב, השתמש בURI המפורטים ב - Microsoft Defender for Endpoint עבור לקוחות של ממשלת ארה"ב.
עצה
לקבלת ביצועים טובים יותר, באפשרותך להשתמש בשרת קרוב יותר למיקום הגיאוגרפי שלך:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
תיאור API
עדכון מאפיינים של התראה קיימת.
שליחת הערה זמינה עם או בלי לעדכן מאפיינים.
המאפיינים הניתנים לעדכון הם: status
, determination
, classification
ו- assignedTo
.
מגבלות
- באפשרותך לעדכן התראות הזמינות ב- API. לקבלת מידע נוסף, ראה התראות רשימה.
- דרג מגבלות עבור API זה הן 100 שיחות בדקה ו- 1500 שיחות בשעה.
הרשאות
אחת מההרשאות הבאות נדרשת כדי לקרוא ל- API זה. לקבלת מידע נוסף, כולל כיצד לבחור הרשאות, ראה שימוש ב- Microsoft Defender עבור ממשקי API של נקודת קצה
סוג הרשאה | הרשאה | שם תצוגה של הרשאה |
---|---|---|
יישום | Alerts.ReadWrite.All | 'קרא וכתוב את כל ההתראות' |
מוסמך (חשבון בעבודה או בבית ספר) | Alert.ReadWrite | 'התראות קריאה וכתיבה' |
הערה
בעת השגת אסימון באמצעות אישורי משתמש:
- המשתמש צריך להיות בעל הרשאת התפקיד הבאה לפחות: 'חקירת התראות' (לקבלת מידע נוסף, ראה יצירה וניהול של תפקידים)
- למשתמש צריכה להיות גישה למכשיר המשויך להתראה, בהתבסס על הגדרות קבוצת מכשירים (לקבלת מידע נוסף, ראה יצירה וניהול של קבוצות מכשירים
יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.
בקשת HTTP
PATCH /api/alerts/{id}
כותרות בקשות
Name | סוג | תיאור |
---|---|---|
ההרשאות | מחרוזת | נושא {token}. נדרש . |
סוג תוכן | מחרוזת | application/json. נדרש . |
גוף הבקשה
בגוף הבקשה, ספק את הערכים עבור השדות הרלוונטיים שיש לעדכן.
מאפיינים קיימים שאינם כלולים בגוף הבקשה יש לשמור על הערכים הקודמים שלהם או יחושבו מחדש בהתבסס על שינויים בערכי מאפיינים אחרים.
לקבלת ביצועים מיטביים, אין לכלול ערכים קיימים שלא ישתנו.
מאפיין | סוג | תיאור |
---|---|---|
Status | מחרוזת | מציין את המצב הנוכחי של ההתראה. ערכי המאפיינים הם: 'חדש', 'InProgress' ו- 'Resolved'. |
מוקצה ל | מחרוזת | בעלים של ההתראה |
מיון | מחרוזת | מציין את מפרט ההתראה. ערכי המאפיינים הם: TruePositive , , InformationalExpectedActivity ו- FalsePositive . |
נחישות | מחרוזת | מציין את קביעת ההתראה. ערכי קביעה אפשריים עבור כל סיווג הם: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – שקול לשנות את שם הספירה ב- api הציבורי בהתאם, Malware (תוכנות זדוניות), Phishing (דיוג), Unwanted software (UnwantedSoftware) Other וכן (אחר). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) - שקול לשנות את שם הספירה ב- api הציבורי בהתאם וכן Other (אחר). Not malicious (NotMalicious) - שקול לשנות את שם הספירה ב- api הציבורי בהתאם, Not enough data to validate (InsufficientData) ו- Other (אחר). |
תגובה | מחרוזת | הערה שיש להוסיף להתראה. |
הערה
בסביבות 29 באוגוסט 2022, ערכי קביעת ההתראה הנתמכים בעבר ('Apt' ו- 'SecurityPersonnel') לא יהיו עוד זמינים דרך ה- API.
תגובה
אם שיטה זו הצליחה, היא מחזירה 200 אישור, ואת ישות ההתראה בגוף התגובה עם המאפיינים המעודכנים. אם לא נמצאה התראה עם המזהה שצוין - 404 לא נמצא.
דוגמה
בקשה
להלן דוגמה לבקשה.
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.