共用方式為

批次更新警示

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

注意事項

如果您是美國政府客戶,請使用 適用於美國政府客戶的 Microsoft Defender 中所列的 URI。

提示

為了獲得更好的效能,您可以使用更接近您地理位置的伺服器:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API 描述

更新現有警示批次 屬性。

無論是否更新屬性,都可以提交 批注

可更新的屬性為:statusdeterminationclassificationassignedTo

限制

  1. 您可以更新 API 中可用的警示。 如需詳細資訊,請 參閱列出警示
  2. 此 API 的速率限制為每分鐘 10 次呼叫,每小時 500 次呼叫。

權限

呼叫此 API 需要下列其中一個許可權。 若要深入瞭解,包括如何選擇許可權,請參 閱使用適用於端點的 Defender Microsoft API

許可權類型 權限 許可權顯示名稱
應用程式 Alert.ReadWrite.All 「讀取和寫入所有警示」
委派 (公司或學校帳戶) Alert.ReadWrite 「讀取和寫入警示」

注意事項

使用使用者認證取得權杖時:

適用於端點的Defender方案1和方案2支援裝置群組建立。

HTTP 要求

POST /api/alerts/batchUpdate

要求標頭

名稱 類型 描述
授權 字串 持有人 {token}。 必要
Content-Type 字串 application/json。 必要

要求內文

在要求本文中,提供要更新之警示的標識符,以及您想要針對這些警示更新之相關欄位的值。

未包含在要求本文中的現有屬性會維護其先前的值,或根據其他屬性值的變更重新計算。

為了達到最佳效能,您不應該包含尚未變更的現有值。

屬性 類型 描述
alertIds 清單<字串> 要更新之警示的標識碼清單。 Required
狀態 字串 指定指定之警示的更新狀態。 屬性值為:『New』、『InProgress』 和 『Resolved』。
assignedTo 字串 指定警示的擁有者
分類 字串 指定指定之警示的規格。 屬性值為: TruePositiveInformational, expected activityFalsePositive
測定 字串 指定所指定警示的判斷。

每個分類的可能判斷值如下:

  • 確判Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 請考慮據以變更公用 API 中的列舉名稱、 Malware (惡意代碼) 、 Phishing (網络釣魚) 、 Unwanted software (UnwantedSoftware) ,以及 Other (Other) 。
  • 信息、預期的活動:Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedUserActivity) - 請考慮據以變更公用 API 中的列舉名稱, (Other 其他) 。
  • 誤判:Not malicious (清除) - 請考慮據以變更公用 API 中的列舉名稱、 Not enough data to validate (InsufficientData) ,以及 Other (其他) 。
    		•
    註解 字串 要新增至指定警示的批注。

    注意事項

    在 2022 年 8 月 29 日左右,先前支援的警示判斷值 ('Apt' 和 'SecurityPersonnel') 將會被取代,且不再可透過 API 使用。

    回應

    如果成功,這個方法會傳回 200 OK,並具有空的回應本文。

    範例

    請求

    以下是要求的範例。

    POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate

    {
    "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}

    提示

    想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。