アラートのバッチ更新
適用対象:
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
注:
米国政府機関のお客様の場合は、米国政府機関のお客様のMicrosoft Defender for Endpointに記載されている URI を使用してください。
ヒント
パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
API の説明
既存のアラートのバッチのプロパティをUpdatesします。
コメントの送信は、プロパティを更新する場合と更新しない場合に使用できます。
更新可能なプロパティは、 status、 determination、 classification および assignedToです。
制限事項
- API で使用できるアラートを更新できます。 詳細については、「アラートの 一覧表示」を参照してください。
- この API のレート制限は、1 分あたり 10 回の呼び出しと 1 時間あたり 500 回の呼び出しです。
アクセス許可
この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「Microsoft Defender for Endpoint API を使用する」を参照してください。
| アクセス許可の種類 | アクセス許可 | アクセス許可の表示名 |
|---|---|---|
| アプリケーション | Alert.ReadWrite.All | 'すべてのアラートの読み取りと書き込み' |
| 委任 (職場または学校のアカウント) | Alert.ReadWrite | 'アラートの読み取りと書き込み' |
注:
ユーザー資格情報を使用してトークンを取得する場合:
- ユーザーには、少なくとも "アラート調査" というロールのアクセス許可が必要です。 詳細については、「ロールのCreateと管理」を参照してください。
- ユーザーは、デバイス グループの設定に基づいて、アラートに関連付けられているデバイスにアクセスできる必要があります。 詳細については、「デバイス グループのCreateと管理」を参照してください。
デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。
HTTP 要求
POST /api/alerts/batchUpdate
要求ヘッダー
| 名前 | 型 | 説明 |
|---|---|---|
| Authorization | String | ベアラー {token}。 必須。 |
| Content-Type | 文字列 | application/json. 必須。 |
要求本文
要求本文で、更新するアラートの ID と、これらのアラートに対して更新する関連フィールドの値を指定します。
要求本文に含まれていない既存のプロパティは、以前の値を維持するか、他のプロパティ値の変更に基づいて再計算されます。
最適なパフォーマンスを得るためには、変更されていない既存の値を含めないでください。
| プロパティ | 型 | 説明 |
|---|---|---|
| alertIds | リスト<文字列> | 更新するアラートの ID の一覧。 必須 |
| status | String | 指定したアラートの更新された状態を指定します。 プロパティの値は、'New'、'InProgress'、および 'Resolved' です。 |
| assignedTo | String | 指定されたアラートの所有者 |
| classification | String | 指定したアラートの仕様を指定します。 プロパティの値は、 TruePositive、 Informational, expected activity、および FalsePositiveです。 |
| 決定 | String | 指定したアラートの決定を指定します。 分類ごとに考えられる決定値は次のとおりです。 Multistage attack (MultiStagedAttack)、 Malicious user activity (MaliciousUserActivity) Compromised account 、(CompromisedUser) – パブリック API の列挙型名 (マルウェア)、(フィッシング) Phishing 、(UnwantedSoftware) Unwanted software 、 Malware および Other (Other) に従って変更することを検討してください。 Security test (SecurityTesting) Line-of-business application 、(LineOfBusinessApplication) Confirmed activity 、(ConfirmedUserActivity) - パブリック API の列挙型名を適宜変更することを検討してください。( Other その他)。 Not malicious (クリーン) - パブリック API の列挙型名 (InsufficientData)、 Not enough data to validate および Other (Other) を適宜変更することを検討してください。 |
| コメント | String | 指定したアラートに追加するコメント。 |
注:
2022 年 8 月 29 日ごろ、以前にサポートされていたアラート判定値 ('Apt' と 'SecurityPersonnel') は非推奨となり、API を介して使用できなくなります。
応答
成功した場合、このメソッドは空の応答本文で 200 OK を返します。
例
要求
要求の例を次に示します。
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示