Waarschuwingen over batch-update
Van toepassing op:
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Opmerking
Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.
Tip
Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
API-beschrijving
Updates eigenschappen van een batch bestaande waarschuwingen.
Het indienen van opmerkingen is beschikbaar met of zonder eigenschappen bij te werken.
De eigenschappen die kunnen worden bijgewerkt, zijn: status, determinationclassification en assignedTo.
Beperkingen
- U kunt waarschuwingen bijwerken die beschikbaar zijn in de API. Zie Waarschuwingen weergeven voor meer informatie.
- Frequentiebeperkingen voor deze API zijn 10 aanroepen per minuut en 500 aanroepen per uur.
Machtigingen
Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Use Microsoft Defender voor Eindpunt API's (Api's voor Microsoft Defender voor Eindpunt gebruiken) voor meer informatie, waaronder het kiezen van machtigingen.
| Machtigingstype | Machtiging | Weergavenaam van machtiging |
|---|---|---|
| Toepassing | Alert.ReadWrite.All | Alle waarschuwingen lezen en schrijven |
| Gedelegeerd (werk- of schoolaccount) | Alert.ReadWrite | 'Waarschuwingen lezen en schrijven' |
Opmerking
Bij het verkrijgen van een token met behulp van gebruikersreferenties:
- De gebruiker moet ten minste de volgende rolmachtiging hebben: 'Onderzoek van waarschuwingen'. Zie rollen Creatie en beheren voor meer informatie.
- De gebruiker moet toegang hebben tot het apparaat dat is gekoppeld aan de waarschuwing, op basis van de instellingen van de apparaatgroep. Zie apparaatgroepen Creatie en beheren voor meer informatie.
Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.
HTTP-aanvraag
POST /api/alerts/batchUpdate
Aanvraagheaders
| Naam | Type | Beschrijving |
|---|---|---|
| Vergunning | Tekenreeks | Bearer {token}. Vereist. |
| Content-Type | Tekenreeks | application/json. Vereist. |
Aanvraagtekst
Geef in de aanvraagtekst de id's op van de waarschuwingen die moeten worden bijgewerkt en de waarden van de relevante velden die u voor deze waarschuwingen wilt bijwerken.
Bestaande eigenschappen die niet zijn opgenomen in de hoofdtekst van de aanvraag, behouden hun vorige waarden of worden opnieuw berekend op basis van wijzigingen in andere eigenschapswaarden.
Voor de beste prestaties moet u geen bestaande waarden opnemen die niet zijn gewijzigd.
| Eigenschap | Type | Beschrijving |
|---|---|---|
| alertIds | Lijsttekenreeks<> | Een lijst met de id's van de waarschuwingen die moeten worden bijgewerkt. Vereist |
| Status | Tekenreeks | Hiermee geeft u de bijgewerkte status van de opgegeven waarschuwingen. De eigenschapswaarden zijn: 'Nieuw', 'InProgress' en 'Opgelost'. |
| assignedTo | Tekenreeks | Eigenaar van de opgegeven waarschuwingen |
| Indeling | Tekenreeks | Hiermee geeft u de specificatie van de opgegeven waarschuwingen. De eigenschapswaarden zijn: TruePositive, Informational, expected activityen FalsePositive. |
| Bepaling | Tekenreeks | Hiermee geeft u de bepaling van de opgegeven waarschuwingen. Mogelijke bepalingswaarden voor elke classificatie zijn: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, Malware (Malware), Phishing (Phishing), Unwanted software (OngewensteSoftware) en Other (Overige). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, en Other (Overige). Not malicious (Schoon) - overweeg de enumnaam in openbare API dienovereenkomstig te wijzigen, Not enough data to validate (InsufficientData) en Other (Overige). |
| Commentaar | Tekenreeks | Opmerking die moet worden toegevoegd aan de opgegeven waarschuwingen. |
Opmerking
Rond 29 augustus 2022 worden eerder ondersteunde waarschuwingsbepalingswaarden ('Apt' en 'SecurityPersonnel') afgeschaft en niet meer beschikbaar via de API.
Antwoord
Als dit lukt, retourneert deze methode 200 OK, met een lege antwoordtekst.
Voorbeeld
Verzoek
Hier volgt een voorbeeld van de aanvraag.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor