建立警示 API
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
注意事項
如果您是美國政府客戶,請使用 適用於美國政府客戶的 Microsoft Defender 中所列的 URI。
提示
為了獲得更好的效能,您可以使用更接近您地理位置的伺服器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API 描述
在事件頂端建立新的警示。
- Microsoft建立警示時,需要適用於端點的 Defender 事件。
- 您必須在要求中提供來自事件的三個參數: 事件時間、 機器標識碼和 報表標識碼。 請參閱下面範例。
- 您可以使用進階搜捕 API 或入口網站中找到的事件。
- 如果相同裝置上存在具有相同標題的開啟警示,則新建立的警示會與它合併。
- 自動調查會在透過 API 建立的警示上自動開始。
限制
- 此 API 的速率限制是每分鐘 15 次呼叫。
權限
呼叫此 API 需要下列其中一個許可權。 若要深入瞭解,包括如何選擇許可權,請 參閱使用適用於端點Microsoft Defender API。
| 許可權類型 | 權限 | 許可權顯示名稱 |
|---|---|---|
| 應用程式 | Alert.ReadWrite.All | 「讀取和寫入所有警示」 |
| 委派 (公司或學校帳戶) | Alert.ReadWrite | 「讀取和寫入警示」 |
注意事項
使用使用者認證取得權杖時:
- 使用者至少必須具有下列角色許可權: 警示調查。 如需詳細資訊,請 參閱建立和管理角色。
- 根據裝置群組設定,用戶必須能夠存取與警示相關聯的裝置。 如需詳細資訊,請 參閱建立和管理裝置群組。
適用於端點的Defender方案1和方案2都支援裝置群組建立
HTTP 要求
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
要求標頭
| 名稱 | 類型 | 描述 |
|---|---|---|
| 授權 | 字串 | 持有人 {token}。 必要。 |
| Content-Type | 字串 | application/json。 必要。 |
要求內文
在要求本文中,提供下列值 (所有必要) :
| 屬性 | 類型 | 描述 |
|---|---|---|
| eventTime | DateTime (UTC) | 事件的精確時間,如同從進階搜捕取得的字串。 例如,2018-08-03T16:45:21.7115183Z必要。 |
| reportId | 字串 | 事件的 reportId,如進階搜捕所取得。 必要。 |
| machineId | 字串 | 識別事件所在裝置的標識碼。 必要。 |
| 嚴厲 | 字串 | 警示的嚴重性。 屬性值為:『Low』、『Medium』 和 『High』。 必要。 |
| title | 字串 | 警示的標題。 必要。 |
| 描述 | 字串 | 警示的描述。 必要。 |
| recommendedAction | 字串 | 分析警示時,安全性人員必須採取此動作。 必要。 |
| 類別 | 字串 | 警示的類別。 屬性值為:“General”、“CommandAndControl”、“Collection”、“CredentialAccess”、“DefenseEvasion”、“Discovery”、“Exfiltration”、“Exploit”、“Execution”、“InitialAccess”、“LateralMovement”、“Malware”、“Persistence”、“PrivilegeEscalation”、“Ransomware”、“SuspiciousActivity”。 |
回應
如果成功,這個方法會傳回 200 OK,並在回應本文中傳回新的 警示 物件。 如果具有指定屬性的事件 (reportId,則找不到 eventTime 和 machineId) - 404 找不到。
範例
請求
以下是要求的範例。
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。