Condividi tramite

Batch, aggiornare gli avvisi

  • Articolo

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Nota

Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.

Consiglio

Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Descrizione DELL'API

Aggiorna le proprietà di un batch di avvisi esistenti.

L'invio di commenti è disponibile con o senza aggiornare le proprietà.

Le proprietà aggiornabili sono: status, determinationclassification e assignedTo.

Limitazioni

  1. È possibile aggiornare gli avvisi disponibili nell'API. Per altre informazioni, vedere Elencare gli avvisi.
  2. Le limitazioni di frequenza per questa API sono 10 chiamate al minuto e 500 chiamate all'ora.

Autorizzazioni

Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, incluso come scegliere le autorizzazioni, vedere Usare le API di Microsoft Defender per endpoint

Tipo di autorizzazione Autorizzazione Nome visualizzato autorizzazioni
Applicazione Alert.ReadWrite.All 'Leggere e scrivere tutti gli avvisi'
Delegato (account aziendale o dell'istituto di istruzione) Alert.ReadWrite 'Avvisi di lettura e scrittura'

Nota

Quando si ottiene un token usando le credenziali utente:

  • L'utente deve disporre almeno dell'autorizzazione del ruolo seguente: 'Analisi avvisi'. Per altre informazioni, vedere Creare e gestire ruoli.
  • L'utente deve avere accesso al dispositivo associato all'avviso, in base alle impostazioni del gruppo di dispositivi. Per altre informazioni, vedere Creare e gestire gruppi di dispositivi.

La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

Richiesta HTTP

POST /api/alerts/batchUpdate

Intestazioni di richiesta

Nome Tipo Descrizione
Autorizzazione Stringa Bearer {token}. Obbligatorio.
Content-Type Stringa application/json. Obbligatorio.

Corpo della richiesta

Nel corpo della richiesta specificare gli ID degli avvisi da aggiornare e i valori dei campi pertinenti che si desidera aggiornare per questi avvisi.

Le proprietà esistenti non incluse nel corpo della richiesta mantengono i valori precedenti o vengono ricalcolate in base alle modifiche apportate ad altri valori di proprietà.

Per ottenere prestazioni ottimali, non è consigliabile includere valori esistenti che non sono stati modificati.

Proprietà Tipo Descrizione
alertIds Stringa elenco<> Elenco degli ID degli avvisi da aggiornare. Obbligatorio
stato Stringa Specifica lo stato aggiornato degli avvisi specificati. I valori delle proprietà sono: 'New', 'InProgress' e 'Resolved'.
assignedTo Stringa Proprietario degli avvisi specificati
classificazione Stringa Specifica la specifica degli avvisi specificati. I valori delle proprietà sono: TruePositive, Informational, expected activitye FalsePositive.
determinazione Stringa Specifica la determinazione degli avvisi specificati.

I possibili valori di determinazione per ogni classificazione sono:

  • Vero positivo: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) : è consigliabile modificare di conseguenza il nome dell'enumerazione nell'API pubblica ( Malware Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Altro).
  • Attività informativa prevista:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - provare a modificare di conseguenza il nome dell'enumerazione nell'API pubblica e Other (Altro).
  • Falso positivo:Not malicious (Pulisci): valutare la possibilità di modificare di conseguenza il nome dell'enumerazione nell'API pubblica ( Not enough data to validate InsufficientData) e Other (Altro).
    		•
    commento Stringa Commento da aggiungere agli avvisi specificati.

    Nota

    Intorno al 29 agosto 2022, i valori di determinazione degli avvisi supportati in precedenza ('Apt' e 'SecurityPersonnel') verranno deprecati e non più disponibili tramite l'API.

    Risposta

    Se ha esito positivo, questo metodo restituisce 200 OK, con un corpo di risposta vuoto.

    Esempio

    Richiesta

    Ecco un esempio della richiesta.

    POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate

    {
    "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}

    Consiglio

    Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.