경고 API 만들기
적용 대상:
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
참고
미국 정부 고객인 경우 미국 정부 고객용 엔드포인트용 Microsoft Defender에 나열된 URI를 사용하세요.
팁
성능을 향상시키려면 서버를 지리적 위치에 더 가깝게 사용할 수 있습니다.
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API 설명
이벤트 위에 새 경고를 만듭니다.
- 경고를 만드는 데 엔드포인트용 Microsoft Defender 이벤트가 필요합니다.
- 요청의 이벤트에서 이벤트 시간, 컴퓨터 ID 및 보고서 ID의 세 가지 매개 변수를 제공해야 합니다. 아래 예제를 참조하세요.
- 고급 헌팅 API 또는 포털에 있는 이벤트를 사용할 수 있습니다.
- 동일한 타이틀이 있는 동일한 디바이스에 열려 있는 경고가 있는 경우 새로 만든 경고가 해당 경고와 병합됩니다.
- 자동 조사는 API를 통해 생성된 경고에서 자동으로 시작됩니다.
제한 사항
- 이 API에 대한 속도 제한은 분당 15개 호출입니다.
권한
이 API를 호출하려면 다음 권한 중 하나가 필요합니다. 사용 권한을 선택하는 방법을 포함하여 자세한 내용은 엔드포인트용 Microsoft Defender API 사용을 참조하세요.
| 사용 권한 유형 | 사용 권한 | 사용 권한 표시 이름 |
|---|---|---|
| 응용 프로그램 | Alert.ReadWrite.All | '모든 경고 읽기 및 쓰기' |
| 위임됨(회사 또는 학교 계정) | Alert.ReadWrite | '경고 읽기 및 쓰기' |
참고
사용자 자격 증명을 사용하여 토큰을 가져오는 경우:
- 사용자에게 최소한 다음 역할 권한이 있어야 합니다. 경고 조사. 자세한 내용은 역할 만들기 및 관리를 참조하세요.
- 사용자는 디바이스 그룹 설정에 따라 경고와 연결된 디바이스에 액세스할 수 있어야 합니다. 자세한 내용은 디바이스 그룹 만들기 및 관리를 참조하세요.
디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1과 플랜 2 모두에서 지원됩니다.
HTTP 요청
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
요청 헤더
| 이름 | 유형 | 설명 |
|---|---|---|
| 권한 부여 | String | 전달자 {token}. 필수입니다. |
| Content-Type | String | application/json. 필수입니다. |
요청 본문
요청 본문에서 다음 값을 입력합니다(모두 필요).
| 속성 | 유형 | 설명 |
|---|---|---|
| eventTime | DateTime(UTC) | 고급 헌팅에서 얻은 문자열로 이벤트의 정확한 시간입니다. 예를 들어 필수입니다2018-08-03T16:45:21.7115183Z. |
| reportId | String | 고급 헌팅에서 얻은 이벤트의 reportId입니다. 필수입니다. |
| machineId | String | 이벤트가 식별된 디바이스의 ID입니다. 필수입니다. |
| 심각도 | String | 경고의 심각도입니다. 속성 값은 'Low', 'Medium' 및 'High'입니다. 필수입니다. |
| title | String | 경고의 제목입니다. 필수입니다. |
| description | String | 경고에 대한 설명입니다. 필수입니다. |
| recommendedAction | String | 보안 책임자는 경고를 분석할 때 이 작업을 수행해야 합니다. 필수입니다. |
| 범주 | String | 경고의 범주입니다. 속성 값은 "General", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltration", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity "입니다. |
응답
성공하면 이 메서드는 응답 본문에 200 OK 및 새 경고 개체를 반환합니다. 지정된 속성(reportId, eventTime 및 machineId)이 있는 이벤트를 찾을 수 없는 경우 - 404 찾을 수 없습니다.
예제
요청
다음은 요청의 예입니다.
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.