API 说明
汇报现有警报的属性。
无论是否更新属性,都可以提交 注释 。
可更新的属性包括: status、 determination、 classification和 assignedTo。
限制
- 可以更新 API 中可用的警报。 有关详细信息,请参阅 列出警报。
- 此 API 的速率限制是每分钟 100 个调用和每小时 1,500 个调用。
权限
使用用户凭据获取令牌时:
要调用此 API,需要以下权限之一。 有关如何选择权限的详细信息,请参阅使用Microsoft Defender for Endpoint API
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Alerts.ReadWrite.All | “读取和写入所有警报” |
| 委派(工作或学校帐户) | Alert.ReadWrite | “读取和写入警报” |
HTTP 请求
PATCH /api/alerts/{id}
请求标头
| 名称 | 类型 | 说明 |
|---|---|---|
| Authorization | String | 持有者 {token}。 必需。 |
| Content-Type | String | application/json. 必需。 |
请求正文
在请求正文中,提供应更新的相关字段的值。
请求正文中未包含的现有属性将保留其以前的值,或者根据对其他属性值的更改重新计算。
为了获得最佳性能,不应包含未更改的现有值。
| 属性 | 类型 | 说明 |
|---|---|---|
| 状态 | String | 指定警报的当前状态。 属性值为:“New”、“InProgress”和“Resolved”。 |
| assignedTo | String | 警报的所有者 |
| 分类 | String | 指定警报的规范。 属性值为: TruePositive、 InformationalExpectedActivity和 FalsePositive。 |
| 测定 | String | 指定警报的确定。 每个分类的可能确定值为: Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 考虑相应地更改公共 API 中的枚举名称、 Malware (恶意软件) 、 Phishing (钓鱼) 、 Unwanted software (不需要的Software) 和其他 Other () 。 Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedActivity) - 考虑相应地更改公共 API 中的枚举名称,并 Other (其他) 。 Not malicious (NotMalicious) - 考虑相应地更改公共 API 中的枚举名称, Not enough data to validate (InsufficientData) , (Other 其他) 。 |
| 评论 | 字符串 | 要添加到警报的注释。 |
注意
在 2022 年 8 月 29 日左右,以前支持的警报确定值 (“Apt”和“SecurityPersonnel”) 将弃用,不再通过 API 提供。
响应
如果成功,此方法返回 200 OK,响应正文中具有更新属性的 警报 实体。 如果未找到具有指定 ID 的警报 - 404 未找到。
示例
请求
下面是请求的示例。
PATCH https://api.security.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}