Aktualizowanie alertu
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Uwaga
Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w usłudze Microsoft Defender for Endpoint dla klientów rządowych USA.
Porada
Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Opis interfejsu API
Aktualizuje właściwości istniejącego alertu.
Przesyłanie komentarza jest dostępne z właściwościami lub bez nich.
Właściwości możliwe do zaktualizowania to: status
, determination
, classification
, i assignedTo
.
Ograniczenia
- Możesz zaktualizować alerty dostępne w interfejsie API. Aby uzyskać więcej informacji, zobacz Lista alertów.
- Ograniczenia szybkości dla tego interfejsu API to 100 wywołań na minutę i 1500 wywołań na godzinę.
Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Korzystanie z usługi Microsoft Defender dla interfejsów API punktu końcowego
Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
---|---|---|
Aplikacja | Alerts.ReadWrite.All | "Odczytywanie i zapisywanie wszystkich alertów" |
Delegowane (konto służbowe) | Alert.ReadWrite | "Odczyt i zapis alertów" |
Uwaga
Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika:
- Użytkownik musi mieć co najmniej następujące uprawnienia roli: "Badanie alertów" (Aby uzyskać więcej informacji, zobacz Tworzenie ról i zarządzanie nimi)
- Użytkownik musi mieć dostęp do urządzenia skojarzonego z alertem na podstawie ustawień grupy urządzeń (Aby uzyskać więcej informacji, zobacz Tworzenie grup urządzeń i zarządzanie nimi
Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.
Żądanie HTTP
PATCH /api/alerts/{id}
Nagłówki żądań
Name (Nazwa) | Wpisać | Opis |
---|---|---|
Autoryzacja | Ciąg | Element nośny {token}. Wymagane. |
Typ zawartości | Ciąg | application/json. Wymagane. |
Treść żądania
W treści żądania podaj wartości dla odpowiednich pól, które powinny zostać zaktualizowane.
Istniejące właściwości, które nie są uwzględnione w treści żądania, zachowają poprzednie wartości lub zostaną ponownie obliczone na podstawie zmian w innych wartościach właściwości.
Aby uzyskać najlepszą wydajność, nie należy uwzględniać istniejących wartości, które nie uległy zmianie.
Własność | Wpisać | Opis |
---|---|---|
Stan | Ciąg | Określa bieżący stan alertu. Wartości właściwości to: "New", "InProgress" i "Resolved". |
assignedTo | Ciąg | Właściciel alertu |
Klasyfikacja | Ciąg | Określa specyfikację alertu. Wartości właściwości to: TruePositive , InformationalExpectedActivity , i FalsePositive . |
Determinacja | Ciąg | Określa określenie alertu. Możliwe wartości określania dla każdej klasyfikacji to: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API( Malware Malware), (Phishing), Phishing Unwanted software (UnwantedSoftware) i Other (Inne). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API i Other (Inne). Not malicious (NotMalicious) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie Not enough data to validate API (InsufficientData) i Other (Inne). |
Komentowanie | Ciąg | Komentarz do dodania do alertu. |
Uwaga
Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów ("Apt" i "SecurityPersonnel") będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.
Odpowiedź
W przypadku powodzenia ta metoda zwraca wartość 200 OK i jednostkę alertu w treści odpowiedzi ze zaktualizowanymi właściwościami. Jeśli alert o określonym identyfikatorze nie został znaleziony — nie znaleziono 404.
Przykład
Prosić
Oto przykład żądania.
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.