Aktualizacja alertów partiami
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Uwaga
Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w usłudze Microsoft Defender for Endpoint dla klientów rządowych USA.
Porada
Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Opis interfejsu API
Aktualizuje właściwości partii istniejących alertów.
Przesyłanie komentarza jest dostępne z właściwościami lub bez nich.
Właściwości możliwe do zaktualizowania to: status, determination, classification i assignedTo.
Ograniczenia
- Alerty dostępne w interfejsie API można aktualizować. Aby uzyskać więcej informacji, zobacz Lista alertów.
- Ograniczenia szybkości dla tego interfejsu API to 10 wywołań na minutę i 500 wywołań na godzinę.
Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Korzystanie z usługi Microsoft Defender dla interfejsów API punktu końcowego
| Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
|---|---|---|
| Aplikacja | Alert.ReadWrite.All | "Odczytywanie i zapisywanie wszystkich alertów" |
| Delegowane (konto służbowe) | Alert.ReadWrite | "Odczyt i zapis alertów" |
Uwaga
Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika:
- Użytkownik musi mieć co najmniej następujące uprawnienia roli: "Badanie alertów". Aby uzyskać więcej informacji, zobacz Tworzenie ról i zarządzanie nimi.
- Użytkownik musi mieć dostęp do urządzenia skojarzonego z alertem na podstawie ustawień grupy urządzeń. Aby uzyskać więcej informacji, zobacz Tworzenie grup urządzeń i zarządzanie nimi.
Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.
Żądanie HTTP
POST /api/alerts/batchUpdate
Nagłówki żądań
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Autoryzacja | Ciąg | Element nośny {token}. Wymagane. |
| Typ zawartości | Ciąg | application/json. Wymagane. |
Treść żądania
W treści żądania podaj identyfikatory alertów do zaktualizowania oraz wartości odpowiednich pól, które chcesz zaktualizować dla tych alertów.
Istniejące właściwości, które nie są uwzględnione w treści żądania, zachowają poprzednie wartości lub zostaną ponownie obliczone na podstawie zmian w innych wartościach właściwości.
Aby uzyskać najlepszą wydajność, nie należy uwzględniać istniejących wartości, które nie uległy zmianie.
| Własność | Wpisać | Opis |
|---|---|---|
| alertIds | Ciąg listy<> | Lista identyfikatorów alertów do zaktualizowania. Wymagany |
| stan | Ciąg | Określa zaktualizowany stan określonych alertów. Wartości właściwości to: "New", "InProgress" i "Resolved". |
| assignedTo | Ciąg | Właściciel określonych alertów |
| klasyfikacja | Ciąg | Określa specyfikację określonych alertów. Wartości właściwości to: TruePositive, Informational, expected activity, i FalsePositive. |
| determinacja | Ciąg | Określa określenie określonych alertów. Możliwe wartości określania dla każdej klasyfikacji to: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API( Malware Malware), (Phishing), PhishingUnwanted software (UnwantedSoftware) i Other (Inne). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API i Other (Inne). Not malicious (Czyste) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie Not enough data to validate API (InsufficientData) i Other (Inne). |
| komentarz | Ciąg | Komentarz do dodania do określonych alertów. |
Uwaga
Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów ("Apt" i "SecurityPersonnel") będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.
Odpowiedź
W przypadku powodzenia ta metoda zwraca wartość 200 OK z pustą treścią odpowiedzi.
Przykład
Prosić
Oto przykład żądania.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.