Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
API-beskrivelse
Oppdateringer egenskapene for en gruppe med eksisterende varsler.
Innsending av kommentar er tilgjengelig med eller uten oppdatering av egenskaper.
Egenskaper som kan oppdateres, er: status, determination, classificationog assignedTo.
Begrensninger
- Du kan oppdatere varsler som er tilgjengelige i API-en. Hvis du vil ha mer informasjon, kan du se Listevarsler.
- Satsbegrensninger for denne API-en er 10 oppkall per minutt og 500 oppkall per time.
Tillatelser
Når du skaffer et token ved hjelp av brukerlegitimasjon:
Brukeren må minst ha følgende rolletillatelse: «Varsler undersøkelse». Hvis du vil ha mer informasjon, kan du se Opprette og administrere roller.
Brukeren må ha tilgang til enheten som er knyttet til varselet, basert på innstillingene for enhetsgruppen. Hvis du vil ha mer informasjon, kan du se Opprette og administrere enhetsgrupper.
Én av følgende tillatelser er nødvendig for å kalle opp denne API-en. Hvis du vil ha mer informasjon om hvordan du velger tillatelser, kan du se Bruke Microsoft Defender for endepunkt API-er
| Tillatelsestype | Tillatelse | Visningsnavn for tillatelse |
|---|---|---|
| Program | Alert.ReadWrite.All | «Les og skriv alle varsler» |
| Delegert (jobb- eller skolekonto) | Alert.ReadWrite | «Lese- og skrivevarsler» |
HTTP-forespørsel
POST /api/alerts/batchUpdate
Forespørselshoder
| Navn | Type: | Beskrivelse |
|---|---|---|
| Autorisasjon | Streng | Bærer {token}. Obligatorisk. |
| Innholdstype | Streng | program/json. Obligatorisk. |
Forespørselstekst
Angi ID-ene for varslene som skal oppdateres, i forespørselsteksten, og verdiene for de relevante feltene du vil oppdatere for disse varslene.
Eksisterende egenskaper som ikke er inkludert i forespørselsteksten, opprettholder de tidligere verdiene eller beregnes på nytt basert på endringer i andre egenskapsverdier.
For best ytelse bør du ikke inkludere eksisterende verdier som ikke er endret.
| Eiendom | Type: | Beskrivelse |
|---|---|---|
| alertIds | Listestreng<> | En liste over ID-ene for varslene som skal oppdateres. Obligatorisk |
| status | Streng | Angir den oppdaterte statusen for de angitte varslene. Egenskapsverdiene er: Ny, InProgress og Løst. |
| assignedTo | Streng | Eier av de angitte varslene |
| klassifisering | Streng | Angir spesifikasjonen for de angitte varslene. Egenskapsverdiene er: TruePositive, Informational, expected activityog FalsePositive. |
| bestemmelse | Streng | Angir fastsettelse av de angitte varslene. Mulige fastsettelsesverdier for hver klassifisering er: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – vurder å endre opplistingsnavnet i offentlig API tilsvarende Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) og Other (Annet). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – vurder å endre nummereringsnavnet i offentlig API tilsvarende, og Other (Annet). Not malicious (Ren) – vurder å endre opplistingsnavnet i offentlig API tilsvarende Not enough data to validate (InsufficientData) og Other (Annet). |
| kommentar | Streng | Kommentar som skal legges til i de angitte varslene. |
Obs!
Rundt 29. august 2022 vil tidligere støttede varslingsbestemmelsesverdier («Apt» og «SecurityPersonnel») bli avskrevet og ikke lenger tilgjengelig via API-en.
Svar
Hvis vellykket, returnerer denne metoden 200 OK, med en tom svartekst.
Eksempel
Anmodning
Her er et eksempel på forespørselen.
POST https://api.security.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}