创建警报 API
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
注意
如果你是美国政府客户,请使用 适用于美国政府客户的 Microsoft Defender for Endpoint 中列出的 URI。
提示
为了提高性能,可以使用离地理位置更近的服务器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API 说明
在事件的基础上创建新的警报。
- 创建警报需要Microsoft Defender for Endpoint 事件。
- 需要在请求中提供事件中的三个参数: 事件时间、 计算机 ID 和 报表 ID。 请参阅下面的示例。
- 可以使用高级搜寻 API 或门户中的事件。
- 如果同一设备上存在具有相同游戏的未结警报,则会将新创建的警报与其合并。
- 自动调查在通过 API 创建的警报上自动启动。
限制
- 此 API 的速率限制为每分钟 15 个调用。
权限
要调用此 API,需要以下权限之一。 若要了解详细信息(包括如何选择权限),请参阅 使用 Microsoft Defender for Endpoint API。
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Alert.ReadWrite.All | “读取和写入所有警报” |
| 委派(工作或学校帐户) | Alert.ReadWrite | “读取和写入警报” |
注意
使用用户凭据获取令牌时:
Defender for Endpoint 计划 1 和计划 2 都支持创建设备组
HTTP 请求
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
请求标头
| 名称 | 类型 | 说明 |
|---|---|---|
| Authorization | String | 持有者 {token}。 必需。 |
| Content-Type | String | application/json. 必需。 |
请求正文
在请求正文中,提供以下值, () 所有值都是必需的:
| 属性 | 类型 | 说明 |
|---|---|---|
| eventTime | DateTime (UTC) | 从高级搜寻中获取的字符串形式的事件的精确时间。 例如, 2018-08-03T16:45:21.7115183Z必需。 |
| reportId | String | 事件的 reportId,从高级搜寻中获取。 必需。 |
| machineId | String | 标识事件的设备的 ID。 必需。 |
| severity | String | 警报的严重性。 属性值为:“Low”、“Medium”和“High”。 必需。 |
| title | String | 警报的标题。 必需。 |
| 说明 | String | 警报的说明。 必需。 |
| recommendedAction | String | 安全人员在分析警报时需要执行此操作。 必需。 |
| “类别” | String | 警报的类别。 属性值为:“General”、“CommandAndControl”、“Collection”、“CredentialAccess”、“DefenseEvasion”、“Discovery”、“Exfiltration”、“Exploit”、“Execution”、“InitialAccess”、“LateralMovement”、“Malware”、“Persistence”、“PrivilegeEscalation”、“勒索软件”、“SuspiciousActivity” 必需。 |
响应
如果成功,此方法在响应正文中返回 200 正常和一个新的 警报 对象。 如果具有指定属性的事件 (reportId,则找不到 eventTime 和 machineId) - 404 Not Found。
示例
请求
下面是请求的示例。
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。