共用方式為


更新警示

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

注意事項

如果您是美國政府客戶,請使用 適用於美國政府客戶的 Microsoft Defender 中所列的 URI。

提示

為了獲得更好的效能,您可以使用更接近您地理位置的伺服器:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API 描述

更新現有 警示的屬性。

無論是否更新屬性,都可以提交 批注

可更新的屬性為: statusdeterminationclassificationassignedTo

限制

  1. 您可以更新 API 中可用的警示。 如需詳細資訊,請 參閱列出警示
  2. 此 API 的速率限制為每分鐘 100 次呼叫,每小時 1500 次呼叫。

權限

呼叫此 API 需要下列其中一個許可權。 若要深入瞭解,包括如何選擇許可權,請參 閱使用適用於端點的 Defender Microsoft API

許可權類型 權限 許可權顯示名稱
應用程式 Alerts.ReadWrite.All 「讀取和寫入所有警示」
委派 (公司或學校帳戶) Alert.ReadWrite 「讀取和寫入警示」

注意事項

使用使用者認證取得權杖時:

  • 用戶必須至少有下列角色許可權:[警示調查] (如需詳細資訊,請參閱 建立和管理角色)
  • 用戶必須能夠存取與警示相關聯的裝置,根據裝置群組設定 (如需詳細資訊,請參閱 建立和管理裝置群組

適用於端點的Defender方案1和方案2支援裝置群組建立。

HTTP 要求

PATCH /api/alerts/{id}

要求標頭

名稱 類型 描述
授權 字串 持有人 {token}。 必要
Content-Type 字串 application/json。 必要

要求內文

在要求本文中,提供應更新之相關欄位的值。

未包含在要求本文中的現有屬性會維護其先前的值,或根據其他屬性值的變更重新計算。

為了達到最佳效能,您不應該包含尚未變更的現有值。

屬性 類型 描述
狀態 字串 指定警示的目前狀態。 屬性值為:『New』、『InProgress』 和 『Resolved』。
assignedTo 字串 警示的擁有者
分類 字串 指定警示的規格。 屬性值為: TruePositiveInformationalExpectedActivityFalsePositive
測定 字串 指定警示的判斷。

每個分類的可能判斷值如下:

  • 確判Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 請考慮據以變更公用 API 中的列舉名稱、 Malware (惡意代碼) 、 Phishing (網络釣魚) 、 Unwanted software (UnwantedSoftware) ,以及 Other (Other) 。
  • 信息、預期的活動:Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedActivity) - 請考慮據以變更公用 API 中的列舉名稱, (Other 其他) 。
  • 誤判:Not malicious (NotMalicis) - 請考慮據以變更公用 API 中的列舉名稱、 Not enough data to validate (InsufficientData) ,以及 Other (其他) 。
  • 留言 字串 要新增至警示的批注。

    注意事項

    在 2022 年 8 月 29 日左右,先前支援的警示判斷值 ('Apt' 和 'SecurityPersonnel') 將會被取代,且不再可透過 API 使用。

    回應

    如果成功,此方法會傳回 200 OK,且 回應 本文中的警示實體會具有更新的屬性。 如果找不到具有指定標識碼的警示 - 404 找不到。

    範例

    請求

    以下是要求的範例。

    PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
    
    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    提示

    想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。