更新警示
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
注意事項
如果您是美國政府客戶,請使用 適用於美國政府客戶的 Microsoft Defender 中所列的 URI。
提示
為了獲得更好的效能,您可以使用更接近您地理位置的伺服器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API 描述
更新現有 警示的屬性。
無論是否更新屬性,都可以提交 批注 。
可更新的屬性為: status
、 determination
、 classification
和 assignedTo
。
限制
- 您可以更新 API 中可用的警示。 如需詳細資訊,請 參閱列出警示。
- 此 API 的速率限制為每分鐘 100 次呼叫,每小時 1500 次呼叫。
權限
呼叫此 API 需要下列其中一個許可權。 若要深入瞭解,包括如何選擇許可權,請參 閱使用適用於端點的 Defender Microsoft API
許可權類型 | 權限 | 許可權顯示名稱 |
---|---|---|
應用程式 | Alerts.ReadWrite.All | 「讀取和寫入所有警示」 |
委派 (公司或學校帳戶) | Alert.ReadWrite | 「讀取和寫入警示」 |
注意事項
使用使用者認證取得權杖時:
適用於端點的Defender方案1和方案2支援裝置群組建立。
HTTP 要求
PATCH /api/alerts/{id}
要求標頭
名稱 | 類型 | 描述 |
---|---|---|
授權 | 字串 | 持有人 {token}。 必要。 |
Content-Type | 字串 | application/json。 必要。 |
要求內文
在要求本文中,提供應更新之相關欄位的值。
未包含在要求本文中的現有屬性會維護其先前的值,或根據其他屬性值的變更重新計算。
為了達到最佳效能,您不應該包含尚未變更的現有值。
屬性 | 類型 | 描述 |
---|---|---|
狀態 | 字串 | 指定警示的目前狀態。 屬性值為:『New』、『InProgress』 和 『Resolved』。 |
assignedTo | 字串 | 警示的擁有者 |
分類 | 字串 | 指定警示的規格。 屬性值為: TruePositive 、 InformationalExpectedActivity 和 FalsePositive 。 |
測定 | 字串 | 指定警示的判斷。 每個分類的可能判斷值如下: Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 請考慮據以變更公用 API 中的列舉名稱、 Malware (惡意代碼) 、 Phishing (網络釣魚) 、 Unwanted software (UnwantedSoftware) ,以及 Other (Other) 。 Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedActivity) - 請考慮據以變更公用 API 中的列舉名稱, (Other 其他) 。 Not malicious (NotMalicis) - 請考慮據以變更公用 API 中的列舉名稱、 Not enough data to validate (InsufficientData) ,以及 Other (其他) 。 |
留言 | 字串 | 要新增至警示的批注。 |
注意事項
在 2022 年 8 月 29 日左右,先前支援的警示判斷值 ('Apt' 和 'SecurityPersonnel') 將會被取代,且不再可透過 API 使用。
回應
如果成功,此方法會傳回 200 OK,且 回應 本文中的警示實體會具有更新的屬性。 如果找不到具有指定標識碼的警示 - 404 找不到。
範例
請求
以下是要求的範例。
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。