次の方法で共有


アラートのバッチ更新

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

注:

米国政府機関のお客様は、 Microsoft Defender for Endpoint for US Government のお客様に記載されている URI を使用してください。

ヒント

パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API の説明

既存のアラートのバッチのプロパティ を更新します

コメントの送信は、プロパティを更新する場合と更新しない場合に使用できます。

更新可能なプロパティは、 statusdeterminationclassificationassignedToです。

制限事項

  1. API で使用できるアラートを更新できます。 詳細については、「アラートの 一覧表示」を参照してください。
  2. この API のレート制限は、1 分あたり 10 回の呼び出しと 1 時間あたり 500 回の呼び出しです。

アクセス許可

この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「Microsoft Defender for Endpoint API を使用する」を参照してください。

アクセス許可の種類 アクセス許可 アクセス許可の表示名
アプリケーション Alert.ReadWrite.All 'すべてのアラートの読み取りと書き込み'
委任 (職場または学校のアカウント) Alert.ReadWrite 'アラートの読み取りと書き込み'

注:

ユーザー資格情報を使用してトークンを取得する場合:

  • ユーザーには、少なくとも "アラート調査" というロールのアクセス許可が必要です。 詳細については、「 ロールの作成と管理」を参照してください。
  • ユーザーは、デバイス グループの設定に基づいて、アラートに関連付けられているデバイスにアクセスできる必要があります。 詳細については、「 デバイス グループの作成と管理」を参照してください。

デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

HTTP 要求

POST /api/alerts/batchUpdate

要求ヘッダー

名前 説明
Authorization String ベアラー {token}。 必須
Content-Type 文字列 application/json. 必須

要求本文

要求本文で、更新するアラートの ID と、これらのアラートに対して更新する関連フィールドの値を指定します。

要求本文に含まれていない既存のプロパティは、以前の値を維持するか、他のプロパティ値の変更に基づいて再計算されます。

最適なパフォーマンスを得るためには、変更されていない既存の値を含めないでください。

プロパティ 説明
alertIds List<String> 更新するアラートの ID の一覧。 必須
status String 指定したアラートの更新された状態を指定します。 プロパティの値は、'New'、'InProgress'、および 'Resolved' です。
assignedTo String 指定されたアラートの所有者
classification String 指定したアラートの仕様を指定します。 プロパティの値は、 TruePositiveInformational, expected activityFalsePositiveです。
決定 String 指定したアラートの決定を指定します。

分類ごとに考えられる決定値は次のとおりです。

  • 真正: Multistage attack (MultiStagedAttack)、 Malicious user activity (MaliciousUserActivity)、 Compromised account (CompromisedUser) - パブリック API の列挙型名を適宜、 Malware (マルウェア)、 Phishing (フィッシング)、 Unwanted software (UnwantedSoftware)、 Other (その他) に変更することを検討してください。
  • 情報提供、期待されるアクティビティ:Security test (SecurityTesting)、 Line-of-business application (LineOfBusinessApplication)、 Confirmed activity (ConfirmedUserActivity) - それに応じてパブリック API の列挙型名を変更し、 Other (その他) を検討してください。
  • 誤検知:Not malicious (クリーン) - パブリック API の列挙名を適宜、 Not enough data to validate (InsufficientData)、 Other (その他) に変更することを検討してください。
  • コメント String 指定したアラートに追加するコメント。

    注:

    2022 年 8 月 29 日ごろ、以前にサポートされていたアラート判定値 ('Apt' と 'SecurityPersonnel') は非推奨となり、API を介して使用できなくなります。

    応答

    成功した場合、このメソッドは空の応答本文で 200 OK を返します。

    要求

    要求の例を次に示します。

    POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
    
    {
        "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    ヒント

    さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。