Пакетное обновление оповещений
Область применения:
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Примечание.
Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.
Совет
Для повышения производительности можно использовать сервер ближе к географическому расположению:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
Описание API
Обновляет свойства пакета существующих оповещений.
Отправка комментария доступна с обновлением свойств или без нее.
Обновляемые свойства: status, determinationи classificationassignedTo.
Ограничения
- Вы можете обновить оповещения, доступные в API. Дополнительные сведения см. в разделе Список оповещений.
- Ограничения скорости для этого API : 10 вызовов в минуту и 500 вызовов в час.
Разрешения
Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечных точек.
| Тип разрешения | Разрешение | Отображаемое имя разрешения |
|---|---|---|
| Приложение | Alert.ReadWrite.All | "Чтение и запись всех оповещений" |
| Делегированные (рабочая или учебная учетная запись) | Alert.ReadWrite | "Чтение и запись оповещений" |
Примечание.
При получении маркера с использованием учетных данных пользователя:
- Пользователь должен иметь по крайней мере следующее разрешение роли: "Исследование оповещений". Дополнительные сведения см. в разделе Создание ролей и управление ими.
- Пользователь должен иметь доступ к устройству, связанному с оповещением, на основе параметров группы устройств. Дополнительные сведения см. в статье Создание групп устройств и управление ими.
Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.
HTTP-запрос
POST /api/alerts/batchUpdate
Заголовки запросов
| Имя | Тип | Описание |
|---|---|---|
| Авторизация | String | Bearer {token}. Обязательное поле. |
| Content-Type | String | application/json. Обязательное поле. |
Текст запроса
В тексте запроса укажите идентификаторы обновляемых оповещений и значения соответствующих полей, которые необходимо обновить для этих оповещений.
Существующие свойства, которые не включены в текст запроса, будут поддерживать свои предыдущие значения или пересчитываться на основе изменений других значений свойств.
Для достижения оптимальной производительности не следует включать существующие значения, которые не изменились.
| Свойство | Тип | Описание |
|---|---|---|
| alertIds | Строка списка<> | Список идентификаторов оповещений, которые необходимо обновить. Required |
| status | String | Указывает обновленное состояние указанных оповещений. Значения свойств: "New", "InProgress" и "Resolved". |
| assignedTo | String | Владелец указанных оповещений |
| classification | String | Указывает спецификацию указанных оповещений. Значения свойств: TruePositive, Informational, expected activityи FalsePositive. |
| решимость | String | Указывает определение указанных оповещений. Возможные значения определения для каждой классификации: Multistage attack (MultiStagedAttack), Malicious user activity (MalwareUserActivity), Compromised account (CompromisedUser) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом Malware (Вредоносные программы), Phishing (Фишинг), Unwanted software (UnwantedSoftware) и Other (Прочее). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом и Other (Другое). Not malicious (Чистая) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом ( Not enough data to validate InsufficientData) и Other (Other). |
| комментарий | String | Комментарий, добавляемый в указанные оповещения. |
Примечание.
Примерно 29 августа 2022 г. поддерживаемые ранее значения определения оповещений ("Apt" и "SecurityPersonnel") станут устаревшими и больше не будут доступны через API.
Отклик
В случае успешного выполнения этот метод возвращает значение 200 ОК с пустым текстом ответа.
Пример
Запрос
Ниже приведен пример запроса.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по