Condividi tramite


Avviso di aggiornamento

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Nota

Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.

Consiglio

Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Descrizione DELL'API

Aggiorna le proprietà dell'avviso esistente.

L'invio di commenti è disponibile con o senza aggiornare le proprietà.

Le proprietà aggiornabili sono: status, determination, classificatione assignedTo.

Limitazioni

  1. È possibile aggiornare gli avvisi disponibili nell'API. Per altre informazioni, vedere Elencare gli avvisi.
  2. Le limitazioni di frequenza per questa API sono 100 chiamate al minuto e 1500 chiamate all'ora.

Autorizzazioni

Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, incluso come scegliere le autorizzazioni, vedere Usare le API di Microsoft Defender per endpoint

Tipo di autorizzazione Autorizzazione Nome visualizzato autorizzazioni
Applicazione Alerts.ReadWrite.All 'Leggere e scrivere tutti gli avvisi'
Delegato (account aziendale o dell'istituto di istruzione) Alert.ReadWrite 'Avvisi di lettura e scrittura'

Nota

Quando si ottiene un token usando le credenziali utente:

  • L'utente deve disporre almeno dell'autorizzazione del ruolo seguente: 'Analisi avvisi' (per altre informazioni, vedere Creare e gestire ruoli)
  • L'utente deve avere accesso al dispositivo associato all'avviso, in base alle impostazioni del gruppo di dispositivi .Per altre informazioni, vedere Creare e gestire gruppi di dispositivi

La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

Richiesta HTTP

PATCH /api/alerts/{id}

Intestazioni di richiesta

Nome Tipo Descrizione
Autorizzazione Stringa Bearer {token}. Obbligatorio.
Content-Type Stringa application/json. Obbligatorio.

Corpo della richiesta

Nel corpo della richiesta specificare i valori per i campi pertinenti che devono essere aggiornati.

Le proprietà esistenti non incluse nel corpo della richiesta mantengono i valori precedenti o vengono ricalcolate in base alle modifiche apportate ad altri valori di proprietà.

Per ottenere prestazioni ottimali, non è consigliabile includere valori esistenti che non sono stati modificati.

Proprietà Tipo Descrizione
Stato Stringa Specifica lo stato corrente dell'avviso. I valori delle proprietà sono: 'New', 'InProgress' e 'Resolved'.
assignedTo Stringa Proprietario dell'avviso
Classificazione Stringa Specifica la specifica dell'avviso. I valori delle proprietà sono: TruePositive, InformationalExpectedActivitye FalsePositive.
Determinazione Stringa Specifica la determinazione dell'avviso.

I possibili valori di determinazione per ogni classificazione sono:

  • Vero positivo: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : è consigliabile modificare di conseguenza il nome dell'enumerazione nell'API pubblica ( Malware Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Altro).
  • Attività informativa prevista:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) - valutare la possibilità di modificare di conseguenza il nome dell'enumerazione nell'API pubblica e Other (Altro).
  • Falso positivo:Not malicious (NotMalicious): valutare la possibilità di modificare di conseguenza il nome dell'enumerazione nell'API pubblica ( Not enough data to validate InsufficientData) e Other (Altro).
  • Comment Stringa Commento da aggiungere all'avviso.

    Nota

    Intorno al 29 agosto 2022, i valori di determinazione degli avvisi supportati in precedenza ('Apt' e 'SecurityPersonnel') verranno deprecati e non più disponibili tramite l'API.

    Risposta

    In caso di esito positivo, questo metodo restituisce 200 OK e l'entità di avviso nel corpo della risposta con le proprietà aggiornate. Se l'avviso con l'ID specificato non è stato trovato - 404 Non trovato.

    Esempio

    Richiesta

    Ecco un esempio della richiesta.

    PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
    
    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    Consiglio

    Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.