API 설명
기존 경고 일괄 처리의 속성을 업데이트.
주석 제출은 속성을 업데이트하거나 업데이트하지 않고 사용할 수 있습니다.
업다이블 속성은 , , determinationclassification및 assignedTo입니다status.
제한 사항
- API에서 사용할 수 있는 경고를 업데이트할 수 있습니다. 자세한 내용은 경고 나열을 참조하세요.
- 이 API에 대한 속도 제한은 분당 10개의 호출과 시간당 500개의 호출입니다.
권한
사용자 자격 증명을 사용하여 토큰을 가져오는 경우:
사용자에게 '경고 조사'라는 역할 권한이 있어야 합니다. 자세한 내용은 역할 만들기 및 관리를 참조하세요.
사용자는 디바이스 그룹 설정에 따라 경고와 연결된 디바이스에 액세스할 수 있어야 합니다. 자세한 내용은 디바이스 그룹 만들기 및 관리를 참조하세요.
이 API를 호출하려면 다음 권한 중 하나가 필요합니다. 사용 권한을 선택하는 방법에 대한 자세한 내용은 엔드포인트용 Microsoft Defender API 사용을 참조하세요.
| 사용 권한 유형 | 사용 권한 | 사용 권한 표시 이름 |
|---|---|---|
| 응용 프로그램 | Alert.ReadWrite.All | '모든 경고 읽기 및 쓰기' |
| 위임됨(회사 또는 학교 계정) | Alert.ReadWrite | '경고 읽기 및 쓰기' |
HTTP 요청
POST /api/alerts/batchUpdate
요청 헤더
| 이름 | 유형 | 설명 |
|---|---|---|
| 권한 부여 | String | 전달자 {token}. 필수입니다. |
| Content-Type | String | application/json. 필수입니다. |
요청 본문
요청 본문에서 업데이트할 경고의 ID와 이러한 경고에 대해 업데이트하려는 관련 필드의 값을 제공합니다.
요청 본문에 포함되지 않은 기존 속성은 이전 값을 유지하거나 다른 속성 값의 변경 내용에 따라 다시 계산됩니다.
최상의 성능을 위해 변경되지 않은 기존 값을 포함해서는 안 됩니다.
| 속성 | 유형 | 설명 |
|---|---|---|
| alertIds | 목록<문자열> | 업데이트할 경고의 ID 목록입니다. 필수 |
| 상태 | String | 지정된 경고의 업데이트된 상태 지정합니다. 속성 값은 '새로 만들기', 'InProgress' 및 'Resolved'입니다. |
| assignedTo | String | 지정된 경고의 소유자 |
| 분류 | String | 지정된 경고의 사양을 지정합니다. 속성 값은 , Informational, expected activity및 FalsePositive입니다TruePositive. |
| 결심 | String | 지정된 경고의 결정을 지정합니다. 각 분류에 대해 가능한 결정 값은 다음과 같습니다. Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – 그에 따라 Malware 공용 API에서 열거형 이름을 변경하는 것이 좋습니다. (맬웨어), (피싱), PhishingUnwanted software (UnwantedSoftware) 및 Other (기타). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) - 그에 따라 공용 API에서 열거형 이름을 변경하는 것이 좋습니다. 및 Other (기타). Not malicious (정리) - (InsufficientData) 및 Other (기타)에 따라 Not enough data to validate 공용 API에서 열거형 이름을 변경하는 것이 좋습니다. |
| 주석 | String | 지정된 경고에 추가할 주석입니다. |
참고
2022년 8월 29일 경에는 이전에 지원되었던 경고 결정 값('Apt' 및 'SecurityPersonnel')이 더 이상 사용되지 않으며 API를 통해 더 이상 사용할 수 없습니다.
응답
성공하면 이 메서드는 빈 응답 본문을 사용하여 200 OK를 반환합니다.
예제
요청
다음은 요청의 예입니다.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}