Alertas de atualização em lote
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Ponto de Extremidade
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Observação
Se você for um cliente do governo dos EUA, use as URIs listadas em Microsoft Defender para Ponto de Extremidade para clientes do governo dos EUA.
Dica
Para obter um melhor desempenho, você pode usar o servidor mais próximo da localização geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
Descrição da API
Atualizações propriedades de um lote de alertas existentes.
O envio de comentários está disponível com ou sem atualização de propriedades.
As propriedades updatable são: status
, determination
e assignedTo
classification
.
Limitações
- Você pode atualizar alertas que estão disponíveis na API. Para obter mais informações, consulte Alertas de lista.
- As limitações de taxa para essa API são 10 chamadas por minuto e 500 chamadas por hora.
Permissões
Uma das seguintes permissões é necessária para chamar esta API. Para saber mais, incluindo como escolher permissões, consulte Usar APIs de Microsoft Defender para Ponto de Extremidade
Tipo de permissão | Permissão | Nome da exibição de permissão |
---|---|---|
Application | Alert.ReadWrite.All | 'Ler e gravar todos os alertas' |
Delegado (conta corporativa ou de estudante) | Alert.ReadWrite | 'Alertas de leitura e gravação' |
Observação
Ao obter um token usando credenciais de usuário:
- O usuário precisa ter pelo menos a seguinte permissão de função: 'Investigação de alertas'. Para obter mais informações, consulte Create e gerenciar funções.
- O usuário precisa ter acesso ao dispositivo associado ao alerta, com base nas configurações do grupo de dispositivos. Para obter mais informações, consulte Create e gerenciar grupos de dispositivos.
Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.
Solicitação HTTP
POST /api/alerts/batchUpdate
Cabeçalhos de solicitação
Nome | Tipo | Descrição |
---|---|---|
Autorização | Cadeia de caracteres | {token} de portador. Obrigatório. |
Content-Type | Cadeia de Caracteres | application/json. Obrigatório. |
Corpo da solicitação
No corpo da solicitação, forneça as IDs dos alertas a serem atualizados e os valores dos campos relevantes que você deseja atualizar para esses alertas.
As propriedades existentes que não estão incluídas no corpo da solicitação manterão seus valores anteriores ou serão recalculadas com base em alterações em outros valores de propriedade.
Para obter um melhor desempenho, não inclua valores existentes que não foram alterados.
Propriedade | Tipo | Descrição |
---|---|---|
alertIds | Cadeia de Caracteres de Lista<> | Uma lista das IDs dos alertas a serem atualizados. Required |
status | Cadeia de caracteres | Especifica o status atualizado dos alertas especificados. Os valores da propriedade são: 'New', 'InProgress' e 'Resolved'. |
assignedTo | Cadeia de caracteres | Proprietário dos alertas especificados |
classificação | String | Especifica a especificação dos alertas especificados. Os valores da propriedade são: TruePositive , Informational, expected activity e FalsePositive . |
Determinação | Cadeia de caracteres | Especifica a determinação dos alertas especificados. Os valores de determinação possíveis para cada classificação são: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – considere alterar o nome da enumeração na api pública de acordo, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Outros). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – considere alterar o nome da enumeração na api pública de acordo e Other (Outros). Not malicious (Limpar) – considere alterar o nome da enumeração na api pública de acordo, Not enough data to validate (InsufficientData) e Other (Outros). |
comment | Cadeia de caracteres | Comentário a ser adicionado aos alertas especificados. |
Observação
Por volta de 29 de agosto de 2022, os valores de determinação de alerta com suporte anterior ('Apt' e 'SecurityPersonnel') serão preteridos e não estarão mais disponíveis por meio da API.
Resposta
Se for bem-sucedido, esse método retornará 200 OK, com um corpo de resposta vazio.
Exemplo
Solicitação
Aqui está um exemplo da solicitação.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de