Share via


עדכן התראה

חל על:

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

הערה

אם אתה לקוח של ממשלת ארה"ב, השתמש בURI המפורטים ב- Microsoft Defender עבור נקודת קצה עבור לקוחות של ממשלת ארה"ב.

עצה

לקבלת ביצועים טובים יותר, באפשרותך להשתמש בשרת קרוב יותר למיקום הגיאוגרפי שלך:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

תיאור API

עדכונים מאפיינים של התראה קיימת.

שליחת הערה זמינה עם או בלי לעדכן מאפיינים.

המאפיינים הניתנים לעדכון הם: status, determination, classificationו- assignedTo.

מגבלות

  1. באפשרותך לעדכן התראות הזמינות ב- API. לקבלת מידע נוסף, ראה התראות רשימה.
  2. דרג מגבלות עבור API זה הן 100 שיחות בדקה ו- 1500 שיחות בשעה.

הרשאות

אחת מההרשאות הבאות נדרשת כדי לקרוא ל- API זה. לקבלת מידע נוסף, כולל כיצד לבחור הרשאות, ראה שימוש בממשקי Microsoft Defender עבור נקודת קצה API

סוג הרשאה הרשאה שם תצוגה של הרשאה
יישום Alerts.ReadWrite.All 'קרא וכתוב את כל ההתראות'
מוסמך (חשבון בעבודה או בבית ספר) Alert.ReadWrite 'התראות קריאה וכתיבה'

הערה

בעת השגת אסימון באמצעות אישורי משתמש:

יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.

בקשת HTTP

PATCH /api/alerts/{id}

כותרות בקשות

Name סוג תיאור
ההרשאות מחרוזת נושא {token}. נדרש .
סוג תוכן מחרוזת application/json. נדרש .

גוף הבקשה

בגוף הבקשה, ספק את הערכים עבור השדות הרלוונטיים שיש לעדכן.

מאפיינים קיימים שאינם כלולים בגוף הבקשה יש לשמור על הערכים הקודמים שלהם או יחושבו מחדש בהתבסס על שינויים בערכי מאפיינים אחרים.

לקבלת ביצועים מיטביים, אין לכלול ערכים קיימים שלא ישתנו.

המאפיין סוג תיאור
Status מחרוזת מציין את המצב הנוכחי של ההתראה. ערכי המאפיינים הם: 'חדש', 'InProgress' ו- 'Resolved'.
Assignedto מחרוזת בעלים של ההתראה
סיווג מחרוזת מציין את מפרט ההתראה. ערכי המאפיינים הם: TruePositive, , InformationalExpectedActivityו- FalsePositive.
נחישות מחרוזת מציין את קביעת ההתראה.

ערכי קביעה אפשריים עבור כל סיווג הם:

  • חיובי אמיתי: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – שקול לשנות את שם הספירה ב- api הציבורי בהתאם, Malware (תוכנות זדוניות), Phishing (דיוג), Unwanted software (UnwantedSoftware) Other וכן (אחר).
  • מידע, פעילות צפויה:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) - שקול לשנות את שם הספירה ב- api הציבורי בהתאם וכן Other (אחר).
  • חיובית מוטעית:Not malicious (NotMalicious) - שקול לשנות את שם הספירה ב- api הציבורי בהתאם, Not enough data to validate (InsufficientData) ו- Other (אחר).
  • תגובה מחרוזת הערה שיש להוסיף להתראה.

    הערה

    בסביבות 29 באוגוסט 2022, ערכי קביעת ההתראה הנתמכים בעבר ('Apt' ו- 'SecurityPersonnel') לא יהיו עוד זמינים דרך ה- API.

    תגובה

    אם שיטה זו הצליחה, היא מחזירה 200 אישור, ואת ישות ההתראה בגוף התגובה עם המאפיינים המעודכנים. אם לא נמצאה התראה עם המזהה שצוין - 404 לא נמצא.

    דוגמה

    בקשה

    להלן דוגמה לבקשה.

    PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
    
    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    עצה

    האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.