Dela via

Uppdateringsaviseringar för batch

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Obs!

Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.

Tips

För bättre prestanda kan du använda servern närmare din geoplats:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-beskrivning

Uppdaterar egenskaper för en batch med befintliga aviseringar.

Det går att skicka kommentarer med eller utan att uppdatera egenskaper.

Uppdateringsbara egenskaper är: status, determinationoch classificationassignedTo.

Begränsningar

  1. Du kan uppdatera aviseringar som är tillgängliga i API:et. Mer information finns i Lista aviseringar.
  2. Hastighetsbegränsningar för det här API:et är 10 anrop per minut och 500 anrop per timme.

Behörigheter

En av följande behörigheter krävs för att anropa det här API:et. Mer information, inklusive hur du väljer behörigheter, finns i Använda Api:er för Microsoft Defender för Endpoint

Behörighetstyp Behörighet Visningsnamn för behörighet
Program Alert.ReadWrite.All "Läsa och skriva alla aviseringar"
Delegerat (arbets- eller skolkonto) Alert.ReadWrite "Läs- och skrivaviseringar"

Obs!

När du hämtar en token med användarautentiseringsuppgifter:

  • Användaren måste ha minst följande rollbehörighet: "Undersökning av aviseringar". Mer information finns i Skapa och hantera roller.
  • Användaren måste ha åtkomst till den enhet som är associerad med aviseringen, baserat på enhetsgruppsinställningarna. Mer information finns i Skapa och hantera enhetsgrupper.

Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.

HTTP-begäran

POST /api/alerts/batchUpdate

Frågerubriker

Namn Typ Beskrivning
Tillstånd Sträng Ägaren {token}. Krävs.
Content-Type Sträng application/json. Krävs.

Frågebrödtext

I begärandetexten anger du ID:t för aviseringarna som ska uppdateras och värdena för de relevanta fält som du vill uppdatera för dessa aviseringar.

Befintliga egenskaper som inte ingår i begärandetexten behåller sina tidigare värden eller beräknas om baserat på ändringar i andra egenskapsvärden.

För bästa prestanda bör du inte inkludera befintliga värden som inte har ändrats.

Egenskap Typ Beskrivning
alertIds Liststräng<> En lista över ID:t för de aviseringar som ska uppdateras. Obligatoriskt
status Sträng Anger den uppdaterade statusen för de angivna aviseringarna. Egenskapsvärdena är: "New", "InProgress" och "Resolved".
assignedTo Sträng Ägare till de angivna aviseringarna
klassificering Sträng Anger specifikationen för de angivna aviseringarna. Egenskapsvärdena är: TruePositive, Informational, expected activityoch FalsePositive.
beslutsamhet Sträng Anger bestämning av de angivna aviseringarna.

Möjliga bestämningsvärden för varje klassificering är:

  • Sann positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) och Other (Other).
  • Informationsaktivitet, förväntad aktivitet:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta och Other (Övrigt).
  • Falsk positiv identifiering:Not malicious (Ren) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Not enough data to validate (InsufficientData) och Other (Övrigt).
    		•
    kommentar Sträng Kommentar som ska läggas till i de angivna aviseringarna.

    Obs!

    Runt den 29 augusti 2022 kommer tidigare stödda aviseringsbestämningsvärden ("Apt" och "SecurityPersonnel") att bli inaktuella och inte längre tillgängliga via API:et.

    Svar

    Om det lyckas returnerar den här metoden 200 OK, med en tom svarstext.

    Exempel

    Begäran

    Här är ett exempel på begäran.

    POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate

    {
    "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}

    Tips

    Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.