Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
API-Beschreibung
Updates Eigenschaften eines Batches vorhandener Warnungen.
Die Übermittlung von Kommentaren ist mit oder ohne Aktualisierung von Eigenschaften verfügbar.
Aktualisierbare Eigenschaften sind: status, determination, classificationund assignedTo.
Begrenzungen
- Sie können Warnungen aktualisieren, die in der API verfügbar sind. Weitere Informationen finden Sie unter Auflisten von Warnungen.
- Die Ratenbeschränkungen für diese API sind 10 Aufrufe pro Minute und 500 Aufrufe pro Stunde.
Berechtigungen
Beim Abrufen eines Tokens mit Benutzeranmeldeinformationen:
Der Benutzer muss mindestens über die folgende Rollenberechtigung verfügen: "Warnungsuntersuchung". Weitere Informationen finden Sie unter Erstellen und Verwalten von Rollen.
Der Benutzer muss basierend auf den Gerätegruppeneinstellungen Zugriff auf das der Warnung zugeordnete Gerät haben. Weitere Informationen finden Sie unter Erstellen und Verwalten von Gerätegruppen.
Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen zum Auswählen von Berechtigungen finden Sie unter Verwenden von Microsoft Defender for Endpoint-APIs.
| Berechtigungstyp | Permission | Anzeigename der Berechtigung |
|---|---|---|
| Application | Alert.ReadWrite.All | "Alle Warnungen lesen und schreiben" |
| Delegiert (Geschäfts-, Schul- oder Unikonto) | Alert.ReadWrite | Warnungen zum Lesen und Schreiben |
HTTP-Anforderung
POST /api/alerts/batchUpdate
Anforderungsheader
| Name | Typ | Beschreibung |
|---|---|---|
| Authorization | Zeichenfolge | Bearer {token}. Erforderlich. |
| Content-Type | Zeichenfolge | application/json. Erforderlich. |
Anforderungstext
Geben Sie im Anforderungstext die IDs der zu aktualisierenden Warnungen und die Werte der relevanten Felder an, die Sie für diese Warnungen aktualisieren möchten.
Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte bei oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet.
Aus Gründen der Leistung sollten Sie vorhandene Werte, die nicht geändert wurden, nicht angeben.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| alertIds | Listenzeichenfolge<> | Eine Liste der IDs der zu aktualisierenden Warnungen. Erforderlich |
| status | Zeichenfolge | Gibt die aktualisierte status der angegebenen Warnungen an. Die Eigenschaftswerte sind: "New", "InProgress" und "Resolved". |
| assignedTo | Zeichenfolge | Besitzer der angegebenen Warnungen |
| classification | Zeichenfolge | Gibt die Spezifikation der angegebenen Warnungen an. Die Eigenschaftswerte sind: TruePositive, Informational, expected activityund FalsePositive. |
| Entschlossenheit | Zeichenfolge | Gibt die Bestimmung der angegebenen Warnungen an. Mögliche Bestimmungswerte für jede Klassifizierung sind: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – erwägen Sie, Malware den Enumerationsnamen in der öffentlichen API entsprechend (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) und Other (Other) zu ändern. Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend und Other (Sonstige) zu ändern. Not malicious (Bereinigen) – Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend (InsufficientData) und Other (Sonstige) zu Not enough data to validate ändern. |
| Kommentar | Zeichenfolge | Kommentar, der den angegebenen Warnungen hinzugefügt werden soll. |
Hinweis
Ab dem 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte ("Apt" und "SecurityPersonnel") veraltet und nicht mehr über die API verfügbar.
Antwort
Bei erfolgreicher Ausführung gibt die Methode 200 OK mit einem leeren Antworttext zurück.
Beispiel
Anforderung
Hier sehen Sie ein Beispiel für die Anforderung.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}