Uppdateringsaviseringar för batch
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Obs!
Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.
Tips
För bättre prestanda kan du använda servern närmare din geoplats:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
API-beskrivning
Uppdateringar egenskaper för en batch med befintliga aviseringar.
Det går att skicka kommentarer med eller utan att uppdatera egenskaper.
Uppdateringsbara egenskaper är: status, determinationoch classificationassignedTo.
Begränsningar
- Du kan uppdatera aviseringar som är tillgängliga i API:et. Mer information finns i Lista aviseringar.
- Hastighetsbegränsningar för det här API:et är 10 anrop per minut och 500 anrop per timme.
Behörigheter
En av följande behörigheter krävs för att anropa det här API:et. Mer information, inklusive hur du väljer behörigheter, finns i Använda Microsoft Defender för Endpoint-API:er
| Behörighetstyp | Behörighet | Visningsnamn för behörighet |
|---|---|---|
| Program | Alert.ReadWrite.All | "Läsa och skriva alla aviseringar" |
| Delegerat (arbets- eller skolkonto) | Alert.ReadWrite | "Läs- och skrivaviseringar" |
Obs!
När du hämtar en token med användarautentiseringsuppgifter:
- Användaren måste ha minst följande rollbehörighet: "Undersökning av aviseringar". Mer information finns i Skapa och hantera roller.
- Användaren måste ha åtkomst till den enhet som är associerad med aviseringen, baserat på enhetsgruppsinställningarna. Mer information finns i Skapa och hantera enhetsgrupper.
Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.
HTTP-begäran
POST /api/alerts/batchUpdate
Frågerubriker
| Namn | Typ | Beskrivning |
|---|---|---|
| Tillstånd | Sträng | Ägaren {token}. Krävs. |
| Content-Type | Sträng | application/json. Krävs. |
Frågebrödtext
I begärandetexten anger du ID:t för aviseringarna som ska uppdateras och värdena för de relevanta fält som du vill uppdatera för dessa aviseringar.
Befintliga egenskaper som inte ingår i begärandetexten behåller sina tidigare värden eller beräknas om baserat på ändringar i andra egenskapsvärden.
För bästa prestanda bör du inte inkludera befintliga värden som inte har ändrats.
| Egenskap | Typ | Beskrivning |
|---|---|---|
| alertIds | Liststräng<> | En lista över ID:t för de aviseringar som ska uppdateras. Obligatoriskt |
| Status | Sträng | Anger den uppdaterade statusen för de angivna aviseringarna. Egenskapsvärdena är: "New", "InProgress" och "Resolved". |
| Tilldelat | Sträng | Ägare till de angivna aviseringarna |
| Klassificering | Sträng | Anger specifikationen för de angivna aviseringarna. Egenskapsvärdena är: TruePositive, Informational, expected activityoch FalsePositive. |
| Bestämning | Sträng | Anger bestämning av de angivna aviseringarna. Möjliga bestämningsvärden för varje klassificering är: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) och Other (Other). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta och Other (Övrigt). Not malicious (Ren) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Not enough data to validate (InsufficientData) och Other (Övrigt). |
| Kommentar | Sträng | Kommentar som ska läggas till i de angivna aviseringarna. |
Obs!
Runt den 29 augusti 2022 kommer tidigare stödda aviseringsbestämningsvärden ("Apt" och "SecurityPersonnel") att bli inaktuella och inte längre tillgängliga via API:et.
Svar
Om det lyckas returnerar den här metoden 200 OK, med en tom svarstext.
Exempel
Begäran
Här är ett exempel på begäran.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för