Waarschuwing bijwerken
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Opmerking
Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.
Tip
Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-beschrijving
Hiermee worden eigenschappen van bestaande waarschuwing bijgewerkt.
Het indienen van opmerkingen is beschikbaar met of zonder eigenschappen bij te werken.
De eigenschappen die kunnen worden bijgewerkt, zijn: status, determination, classificationen assignedTo.
Beperkingen
- U kunt waarschuwingen bijwerken die beschikbaar zijn in de API. Zie Waarschuwingen weergeven voor meer informatie.
- Frequentiebeperkingen voor deze API zijn 100 aanroepen per minuut en 1500 aanroepen per uur.
Machtigingen
Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Microsoft Defender voor Eindpunt-API's gebruiken voor meer informatie, waaronder het kiezen van machtigingen.
| Machtigingstype | Machtiging | Weergavenaam van machtiging |
|---|---|---|
| Toepassing | Alerts.ReadWrite.All | Alle waarschuwingen lezen en schrijven |
| Gedelegeerd (werk- of schoolaccount) | Alert.ReadWrite | 'Waarschuwingen lezen en schrijven' |
Opmerking
Bij het verkrijgen van een token met behulp van gebruikersreferenties:
- De gebruiker moet ten minste de volgende rolmachtiging hebben: 'Waarschuwingsonderzoek' (zie Rollen maken en beheren voor meer informatie)
- De gebruiker moet toegang hebben tot het apparaat dat is gekoppeld aan de waarschuwing, op basis van apparaatgroepsinstellingen (zie Apparaatgroepen maken en beheren voor meer informatie
Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.
HTTP-aanvraag
PATCH /api/alerts/{id}
Aanvraagheaders
| Naam | Type | Beschrijving |
|---|---|---|
| Machtiging | Tekenreeks | Bearer {token}. Vereist. |
| Content-Type | Tekenreeks | application/json. Vereist. |
Aanvraagtekst
Geef in de aanvraagtekst de waarden op voor de relevante velden die moeten worden bijgewerkt.
Bestaande eigenschappen die niet zijn opgenomen in de hoofdtekst van de aanvraag, behouden hun vorige waarden of worden opnieuw berekend op basis van wijzigingen in andere eigenschapswaarden.
Voor de beste prestaties moet u geen bestaande waarden opnemen die niet zijn gewijzigd.
| Eigenschap | Type | Beschrijving |
|---|---|---|
| Status | Tekenreeks | Hiermee geeft u de huidige status van de waarschuwing. De eigenschapswaarden zijn: 'Nieuw', 'InProgress' en 'Opgelost'. |
| assignedTo | Tekenreeks | Eigenaar van de waarschuwing |
| Classificatie | Tekenreeks | Hiermee geeft u de specificatie van de waarschuwing. De eigenschapswaarden zijn: TruePositive, InformationalExpectedActivityen FalsePositive. |
| Vastberadenheid | Tekenreeks | Hiermee geeft u de bepaling van de waarschuwing. Mogelijke bepalingswaarden voor elke classificatie zijn: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, Malware (Malware), Phishing (Phishing), Unwanted software (OngewensteSoftware) en Other (Overige). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen en Other (Overige). Not malicious (NotMalicious) - overweeg de naam van de enum in de openbare API dienovereenkomstig te wijzigen( Not enough data to validate InsufficientData) en Other (Overige). |
| Opmerking | Tekenreeks | Opmerking die moet worden toegevoegd aan de waarschuwing. |
Opmerking
Rond 29 augustus 2022 worden eerder ondersteunde waarschuwingsbepalingswaarden ('Apt' en 'SecurityPersonnel') afgeschaft en niet meer beschikbaar via de API.
Antwoord
Als dit lukt, retourneert deze methode 200 OK en de waarschuwingsentiteit in de hoofdtekst van het antwoord met de bijgewerkte eigenschappen. Als de waarschuwing met de opgegeven id niet is gevonden: 404 Niet gevonden.
Voorbeeld
Verzoek
Hier volgt een voorbeeld van de aanvraag.
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.