アラートを更新する

  • 適用対象: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

API の説明

既存のアラートのプロパティをUpdatesします。

コメントの送信は、プロパティを更新する場合と更新しない場合に使用できます。

更新可能なプロパティは、 statusdeterminationclassificationassignedToです。

制限事項

  • API で使用可能なアラートを更新できます。 詳細については、「アラートの 一覧表示」を参照してください。
  • この API のレート制限は、1 分あたり 100 呼び出しと 1 時間あたり 1,500 呼び出しです。

アクセス許可

ユーザー資格情報を使用してトークンを取得する場合:

  • ユーザーには、少なくとも "アラート調査" というロールのアクセス許可が必要です。 詳細については、「 ロールの作成と管理」を参照してください。

  • ユーザーは、デバイス グループの設定に基づいて、アラートに関連付けられているデバイスにアクセスできる必要があります。 詳細については、「 デバイス グループの作成と管理」を参照してください。

この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可を選択する方法の詳細については、「Microsoft Defender for Endpoint API を使用する」を参照してください。

アクセス許可の種類 アクセス許可 アクセス許可の表示名
アプリケーション Alerts.ReadWrite.All 'すべてのアラートの読み取りと書き込み'
委任 (職場または学校のアカウント) Alert.ReadWrite 'アラートの読み取りと書き込み'

HTTP 要求

PATCH /api/alerts/{id}

要求ヘッダー

名前 説明
Authorization String ベアラー {token}。 必須
Content-Type 文字列 application/json. 必須

要求本文

要求本文で、更新する必要がある関連フィールドの値を指定します。

要求本文に含まれていない既存のプロパティは、以前の値を維持するか、他のプロパティ値の変更に基づいて再計算されます。

パフォーマンスを最大限に高めるには、変更されていない既存の値を含めてはいけません。

プロパティ 説明
状態 文字列 アラートの現在の状態を指定します。 プロパティの値は、'New'、'InProgress'、および 'Resolved' です。
assignedTo String アラートの所有者
分類 文字列 アラートの仕様を指定します。 プロパティの値は、 TruePositiveInformationalExpectedActivityFalsePositiveです。
決定 文字列 アラートの決定を指定します。

分類ごとに考えられる決定値は次のとおりです。

  • True positive: Multistage attack (MultiStagedAttack)、 Malicious user activity (MaliciousUserActivity)、 Compromised account (CompromisedUser) - パブリック API の列挙型名を適宜変更することを検討してください。それに応じて、 Malware (マルウェア)、 Phishing (フィッシング)、 Unwanted software (UnwantedSoftware)、 Other (Other)。
  • 情報提供、期待されるアクティビティ:Security test (SecurityTesting)、 Line-of-business application (LineOfBusinessApplication)、 Confirmed activity (ConfirmedActivity) - それに応じてパブリック API の列挙型名を変更し、 Other (その他) を検討してください。
  • 誤検知:Not malicious (NotMalicious) - パブリック API の列挙型名を適宜変更し、 Not enough data to validate (InsufficientData)、 Other (その他) を変更することを検討してください。
    		•
    コメント 文字列 アラートに追加するコメント。

    注:

    2022 年 8 月 29 日ごろ、以前にサポートされていたアラート判定値 ('Apt' と 'SecurityPersonnel') は非推奨となり、API を介して使用できなくなります。

    応答

    成功した場合、このメソッドは 200 OK を返し、更新されたプロパティを持つ応答本文の アラート エンティティを返します。 指定した ID を持つアラートが見つからなかった場合 - 404 が見つかりません。

    要求

    要求の例を次に示します。

    PATCH https://api.security.microsoft.com/api/alerts/121688558380765161_2136280442

    {
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}
    • Last updated on