Delen via

Waarschuwingen over batch-update

  • Artikel

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Opmerking

Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.

Tip

Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-beschrijving

Hiermee worden de eigenschappen van een batch bestaande waarschuwingen bijgewerkt.

Het indienen van opmerkingen is beschikbaar met of zonder eigenschappen bij te werken.

De eigenschappen die kunnen worden bijgewerkt, zijn: status, determinationclassification en assignedTo.

Beperkingen

  1. U kunt waarschuwingen bijwerken die beschikbaar zijn in de API. Zie Waarschuwingen weergeven voor meer informatie.
  2. Frequentiebeperkingen voor deze API zijn 10 aanroepen per minuut en 500 aanroepen per uur.

Machtigingen

Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Microsoft Defender voor Eindpunt-API's gebruiken voor meer informatie, waaronder het kiezen van machtigingen.

Machtigingstype Machtiging Weergavenaam van machtiging
Toepassing Alert.ReadWrite.All Alle waarschuwingen lezen en schrijven
Gedelegeerd (werk- of schoolaccount) Alert.ReadWrite 'Waarschuwingen lezen en schrijven'

Opmerking

Bij het verkrijgen van een token met behulp van gebruikersreferenties:

  • De gebruiker moet ten minste de volgende rolmachtiging hebben: 'Onderzoek van waarschuwingen'. Zie Rollen maken en beheren voor meer informatie.
  • De gebruiker moet toegang hebben tot het apparaat dat is gekoppeld aan de waarschuwing, op basis van de instellingen van de apparaatgroep. Zie Apparaatgroepen maken en beheren voor meer informatie.

Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.

HTTP-aanvraag

POST /api/alerts/batchUpdate

Aanvraagheaders

Naam Type Beschrijving
Machtiging Tekenreeks Bearer {token}. Vereist.
Content-Type Tekenreeks application/json. Vereist.

Aanvraagtekst

Geef in de aanvraagtekst de id's op van de waarschuwingen die moeten worden bijgewerkt en de waarden van de relevante velden die u voor deze waarschuwingen wilt bijwerken.

Bestaande eigenschappen die niet zijn opgenomen in de hoofdtekst van de aanvraag, behouden hun vorige waarden of worden opnieuw berekend op basis van wijzigingen in andere eigenschapswaarden.

Voor de beste prestaties moet u geen bestaande waarden opnemen die niet zijn gewijzigd.

Eigenschap Type Beschrijving
alertIds Lijsttekenreeks<> Een lijst met de id's van de waarschuwingen die moeten worden bijgewerkt. Vereist
status Tekenreeks Hiermee geeft u de bijgewerkte status van de opgegeven waarschuwingen. De eigenschapswaarden zijn: 'Nieuw', 'InProgress' en 'Opgelost'.
assignedTo Tekenreeks Eigenaar van de opgegeven waarschuwingen
classificatie Tekenreeks Hiermee geeft u de specificatie van de opgegeven waarschuwingen. De eigenschapswaarden zijn: TruePositive, Informational, expected activityen FalsePositive.
vastberadenheid Tekenreeks Hiermee geeft u de bepaling van de opgegeven waarschuwingen.

Mogelijke bepalingswaarden voor elke classificatie zijn:

  • Waar positief: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, Malware (Malware), Phishing (Phishing), Unwanted software (OngewensteSoftware) en Other (Overige).
  • Informatieve, verwachte activiteit:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, en Other (Overige).
  • Fout-positief:Not malicious (Schoon) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, Not enough data to validate (InsufficientData) en Other (Overige).
    		•
    commentaar Tekenreeks Opmerking die moet worden toegevoegd aan de opgegeven waarschuwingen.

    Opmerking

    Rond 29 augustus 2022 worden eerder ondersteunde waarschuwingsbepalingswaarden ('Apt' en 'SecurityPersonnel') afgeschaft en niet meer beschikbaar via de API.

    Antwoord

    Als dit lukt, retourneert deze methode 200 OK, met een lege antwoordtekst.

    Voorbeeld

    Verzoek

    Hier volgt een voorbeeld van de aanvraag.

    POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate

    {
    "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}

    Tip

    Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.