次の方法で共有


アラートを更新する

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

注:

米国政府機関のお客様は、 Microsoft Defender for Endpoint for US Government のお客様に記載されている URI を使用してください。

ヒント

パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API の説明

既存のアラートのプロパティを更新 します

コメントの送信は、プロパティを更新する場合と更新しない場合に使用できます。

更新可能なプロパティは、 statusdeterminationclassificationassignedToです。

制限事項

  1. API で使用可能なアラートを更新できます。 詳細については、「アラートの 一覧表示」を参照してください。
  2. この API のレート制限は、1 分あたり 100 呼び出しと 1 時間あたり 1500 呼び出しです。

アクセス許可

この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「Microsoft Defender for Endpoint API を使用する」を参照してください。

アクセス許可の種類 アクセス許可 アクセス許可の表示名
アプリケーション Alerts.ReadWrite.All 'すべてのアラートの読み取りと書き込み'
委任 (職場または学校のアカウント) Alert.ReadWrite 'アラートの読み取りと書き込み'

注:

ユーザー資格情報を使用してトークンを取得する場合:

  • ユーザーには、少なくとも "アラート調査" というロールアクセス許可が必要です (詳細については、「 ロールの作成と管理」を参照してください)
  • ユーザーは、デバイス グループの設定に基づいて、アラートに関連付けられているデバイスにアクセスできる必要があります (詳細については、「デバイス グループの作成と管理」を参照してください

デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

HTTP 要求

PATCH /api/alerts/{id}

要求ヘッダー

名前 説明
Authorization String ベアラー {token}。 必須
Content-Type 文字列 application/json. 必須

要求本文

要求本文で、更新する必要がある関連フィールドの値を指定します。

要求本文に含まれていない既存のプロパティは、以前の値を維持するか、他のプロパティ値の変更に基づいて再計算されます。

パフォーマンスを最大限に高めるには、変更されていない既存の値を含めてはいけません。

プロパティ 説明
状態 String アラートの現在の状態を指定します。 プロパティの値は、'New'、'InProgress'、および 'Resolved' です。
assignedTo String アラートの所有者
分類 String アラートの仕様を指定します。 プロパティの値は、 TruePositiveInformationalExpectedActivityFalsePositiveです。
決定 String アラートの決定を指定します。

分類ごとに考えられる決定値は次のとおりです。

  • 真正: Multistage attack (MultiStagedAttack)、 Malicious user activity (MaliciousUserActivity)、 Compromised account (CompromisedUser) - パブリック API の列挙型名を適宜、 Malware (マルウェア)、 Phishing (フィッシング)、 Unwanted software (UnwantedSoftware)、 Other (その他) に変更することを検討してください。
  • 情報提供、期待されるアクティビティ:Security test (SecurityTesting)、 Line-of-business application (LineOfBusinessApplication)、 Confirmed activity (ConfirmedActivity) - それに応じてパブリック API の列挙型名を変更し、 Other (その他) を検討してください。
  • 誤検知:Not malicious (NotMalicious) - パブリック API の列挙型名を適宜、 Not enough data to validate (InsufficientData)、 Other (その他) に変更することを検討してください。
  • コメント 文字列 アラートに追加するコメント。

    注:

    2022 年 8 月 29 日ごろ、以前にサポートされていたアラート判定値 ('Apt' と 'SecurityPersonnel') は非推奨となり、API を介して使用できなくなります。

    応答

    成功した場合、このメソッドは 200 OK を返し、更新されたプロパティを持つ応答本文の アラート エンティティを返します。 指定した ID を持つアラートが見つからなかった場合 - 404 が見つかりません。

    要求

    要求の例を次に示します。

    PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
    
    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    ヒント

    さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。