Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Opis interfejsu API
Aktualizacje właściwości partii istniejących alertów.
Przesyłanie komentarza jest dostępne z właściwościami lub bez nich.
Właściwości możliwe do zaktualizowania to: status, determination, classification, i assignedTo.
Ograniczenia
- Alerty dostępne w interfejsie API można aktualizować. Aby uzyskać więcej informacji, zobacz Lista alertów.
- Ograniczenia szybkości dla tego interfejsu API to 10 wywołań na minutę i 500 wywołań na godzinę.
Uprawnienia
Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika:
Użytkownik musi mieć co najmniej następujące uprawnienia roli: "Badanie alertów". Aby uzyskać więcej informacji, zobacz Tworzenie ról i zarządzanie nimi.
Użytkownik musi mieć dostęp do urządzenia skojarzonego z alertem na podstawie ustawień grupy urządzeń. Aby uzyskać więcej informacji, zobacz Tworzenie grup urządzeń i zarządzanie nimi.
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby uzyskać więcej informacji na temat wybierania uprawnień, zobacz Korzystanie z interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender
| Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
|---|---|---|
| Aplikacja | Alert.ReadWrite.All | "Odczytywanie i zapisywanie wszystkich alertów" |
| Delegowane (konto służbowe) | Alert.ReadWrite | "Odczyt i zapis alertów" |
Żądanie HTTP
POST /api/alerts/batchUpdate
Nagłówki żądań
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Autoryzacja | Ciąg | Element nośny {token}. Wymagane. |
| Typ zawartości | Ciąg | application/json. Wymagane. |
Treść żądania
W treści żądania podaj identyfikatory alertów do zaktualizowania oraz wartości odpowiednich pól, które chcesz zaktualizować dla tych alertów.
Istniejące właściwości, które nie są uwzględnione w treści żądania, zachowają poprzednie wartości lub zostaną ponownie obliczone na podstawie zmian w innych wartościach właściwości.
Aby uzyskać najlepszą wydajność, nie należy uwzględniać istniejących wartości, które nie uległy zmianie.
| Własność | Wpisać | Opis |
|---|---|---|
| alertIds | Ciąg listy<> | Lista identyfikatorów alertów do zaktualizowania. Wymagany |
| stan | Ciąg | Określa zaktualizowany stan określonych alertów. Wartości właściwości to: "New", "InProgress" i "Resolved". |
| assignedTo | Ciąg | Właściciel określonych alertów |
| klasyfikacja | Ciąg | Określa specyfikację określonych alertów. Wartości właściwości to: TruePositive, Informational, expected activity, i FalsePositive. |
| determinacja | Ciąg | Określa określenie określonych alertów. Możliwe wartości określania dla każdej klasyfikacji to: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API( Malware Malware), (Phishing), PhishingUnwanted software (UnwantedSoftware) i Other (Inne). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie API i Other (Inne). Not malicious (Czyste) — rozważ odpowiednio zmianę nazwy wyliczenia w publicznym interfejsie Not enough data to validate API (InsufficientData) i Other (Inne). |
| komentarz | Ciąg | Komentarz do dodania do określonych alertów. |
Uwaga
Około 29 sierpnia 2022 r. wcześniej obsługiwane wartości określania alertów ("Apt" i "SecurityPersonnel") będą przestarzałe i nie będą już dostępne za pośrednictwem interfejsu API.
Odpowiedź
W przypadku powodzenia ta metoda zwraca wartość 200 OK z pustą treścią odpowiedzi.
Przykład
Prosić
Oto przykład żądania.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}