Aktualizowanie alertu

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.

Porada

Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Opis interfejsu API

Aktualizacje właściwości istniejącego alertu.

Przesyłanie komentarza jest dostępne z właściwościami lub bez nich.

Właściwości możliwe do zaktualizowania to: status, determination, classification, i assignedTo.

Ograniczenia

  1. Możesz zaktualizować alerty dostępne w interfejsie API. Aby uzyskać więcej informacji, zobacz Lista alertów.
  2. Ograniczenia szybkości dla tego interfejsu API to 100 wywołań na minutę i 1500 wywołań na godzinę.

Uprawnienia

Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Korzystanie z interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender

Typ uprawnień Uprawnienie Nazwa wyświetlana uprawnień
Aplikacja Alerts.ReadWrite.All "Odczytywanie i zapisywanie wszystkich alertów"
Delegowane (konto służbowe) Alert.ReadWrite "Odczyt i zapis alertów"

Uwaga

Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika:

  • Użytkownik musi mieć co najmniej następujące uprawnienia roli: "Badanie alertów" (Aby uzyskać więcej informacji, zobacz Twórca i zarządzanie rolami)
  • Użytkownik musi mieć dostęp do urządzenia skojarzonego z alertem na podstawie ustawień grupy urządzeń (Aby uzyskać więcej informacji, zobacz Twórca i zarządzanie grupami urządzeń

Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.

Żądanie HTTP

PATCH /api/alerts/{id}

Nagłówki żądań

Name (Nazwa) Wpisać Opis
Autoryzacji Ciąg Element nośny {token}. Wymagane.
Typ zawartości Ciąg application/json. Wymagane.

Treść żądania

W treści żądania podaj wartości dla odpowiednich pól, które powinny zostać zaktualizowane.

Istniejące właściwości, które nie są uwzględnione w treści żądania, zachowają poprzednie wartości lub zostaną ponownie obliczone na podstawie zmian w innych wartościach właściwości.

Aby uzyskać najlepszą wydajność, nie należy uwzględniać istniejących wartości, które nie uległy zmianie.

Właściwość Wpisać Opis
Stan Ciąg Określa bieżący stan alertu. Wartości właściwości to: "New", "InProgress" i "Resolved".
Assignedto Ciąg Właściciel alertu
Klasyfikacji Ciąg Określa specyfikację alertu. Wartości właściwości to: TruePositive, InformationalExpectedActivity, i FalsePositive.
Oznaczanie Ciąg Określa określenie alertu.

Możliwe wartości określania dla każdej klasyfikacji to:

  • Wynik prawdziwie dodatni: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API( Malware Malware), (Phishing), PhishingUnwanted software (UnwantedSoftware) i Other (Inne).
  • Działanie informacyjne, oczekiwane:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API i Other (Inne).
  • Wynik fałszywie dodatni:Not malicious (NotMalicious) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie Not enough data to validate API (InsufficientData) i Other (Inne).
  • Komentowanie Ciąg Komentarz do dodania do alertu.

    Uwaga

    Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów ("Apt" i "SecurityPersonnel") będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.

    Odpowiedzi

    W przypadku powodzenia ta metoda zwraca wartość 200 OK i jednostkę alertu w treści odpowiedzi ze zaktualizowanymi właściwościami. Jeśli alert o określonym identyfikatorze nie został znaleziony — nie znaleziono 404.

    Przykład

    Żądanie

    Oto przykład żądania.

    PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
    
    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    Porada

    Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.