Share via


Oppdater varsel

Gjelder for:

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Obs!

Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for endepunkt for US Government-kunder.

Tips

Hvis du vil ha bedre ytelse, kan du bruke serveren nærmere geografisk plassering:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

API-beskrivelse

Oppdateringer egenskapene for eksisterende varsel.

Innsending av kommentar er tilgjengelig med eller uten oppdatering av egenskaper.

Egenskaper som kan oppdateres, er: status, determination, classificationog assignedTo.

Begrensninger

  1. Du kan oppdatere varsler som er tilgjengelige i API-en. Hvis du vil ha mer informasjon, kan du se Listevarsler.
  2. Satsbegrensninger for denne API-en er 100 oppkall per minutt og 1500 anrop per time.

Tillatelser

Én av følgende tillatelser er nødvendig for å kalle opp denne API-en. Hvis du vil ha mer informasjon, inkludert hvordan du velger tillatelser, kan du se Bruke Microsoft Defender for endepunkt API-er

Tillatelsestype Tillatelse Visningsnavn for tillatelse
Program Alerts.ReadWrite.All «Les og skriv alle varsler»
Delegert (jobb- eller skolekonto) Alert.ReadWrite «Lese- og skrivevarsler»

Obs!

Når du skaffer et token ved hjelp av brukerlegitimasjon:

Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.

HTTP-forespørsel

PATCH /api/alerts/{id}

Forespørselshoder

Navn Type: Beskrivelse
Authorization Streng Bærer {token}. Obligatorisk.
Innholdstype Streng program/json. Obligatorisk.

Forespørselstekst

Angi verdiene for de relevante feltene som skal oppdateres, i forespørselsteksten.

Eksisterende egenskaper som ikke er inkludert i forespørselsteksten, opprettholder de tidligere verdiene eller beregnes på nytt basert på endringer i andre egenskapsverdier.

For best ytelse bør du ikke inkludere eksisterende verdier som ikke har blitt endret.

Egenskapen Type: Beskrivelse
Status Streng Angir gjeldende status for varselet. Egenskapsverdiene er: Ny, InProgress og Løst.
Tilordnettil Streng Eier av varselet
Klassifisering Streng Angir spesifikasjonen for varselet. Egenskapsverdiene er: TruePositive, InformationalExpectedActivityog FalsePositive.
Besluttsomhet Streng Angir varselets bestemmelse.

Mulige fastsettelsesverdier for hver klassifisering er:

  • Sann positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) og Other (Annet).
  • Informasjon, forventet aktivitet:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) – vurder å endre nummereringsnavnet i offentlig api tilsvarende, og Other (Annet).
  • Falsk positiv:Not malicious (NotMalicious) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Not enough data to validate (InsufficientData) og Other (Annet).
  • Kommentar Streng Kommentar som skal legges til i varselet.

    Obs!

    Rundt 29. august 2022 vil tidligere støttede varslingsbestemmelsesverdier («Apt» og «SecurityPersonnel») bli avskrevet og ikke lenger tilgjengelig via API-en.

    Svar

    Hvis dette lykkes, returnerer denne metoden 200 OK, og varselenheten i svarteksten med de oppdaterte egenskapene. Hvis varsel med den angitte ID-en ikke ble funnet – finner du ikke 404.

    Eksempel

    Forespørsel

    Her er et eksempel på forespørselen.

    PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
    
    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    Tips

    Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.