API 描述
匯報一批現有警報的屬性。
評論 可提交 ,無論是否更新屬性。
可更新的屬性有:status、、 determinationclassificationassignedTo、 。
限制
- 你可以更新 API 中可用的警示。 欲了解更多資訊,請參閱 清單提醒。
- 此 API 的速率限制為每分鐘 10 次呼叫及每小時 500 次呼叫。
權限
使用使用者憑證取得令牌時:
呼叫此 API 需要以下其中一項權限。 欲了解更多如何選擇權限的資訊,請參閱「使用 適用於端點的 Microsoft Defender APIS」
| 權限類型 | 權限 | 權限顯示名稱 |
|---|---|---|
| 應用程式 | 警告。閱讀、寫入、全部 | 「閱讀並寫下所有警報」 |
| 委託 (工作或學校帳戶) | 警告。閱讀 | 「讀寫警示」 |
HTTP 要求
POST /api/alerts/batchUpdate
要求標頭
| 名稱 | 類型 | 描述 |
|---|---|---|
| 授權 | 字串 | 持有人 {token}。 必要。 |
| Content-Type | 字串 | application/json。 必要。 |
要求內文
在請求主體中,提供待更新警報的 ID 以及你想更新這些警報相關欄位的值。
未包含在請求主體中的現有屬性將維持先前的值,或根據其他屬性值的變動重新計算。
為了達到最佳效能,你不應該包含那些沒有改變的現有數值。
| 屬性 | 類型 | 描述 |
|---|---|---|
| alertIds | 列表<字串> | 待更新警報的ID清單。 Required |
| 狀態 | 字串 | 指定所屬警示的最新狀態。 屬性值為:「新建」、「進行中」及「已解決」。 |
| 分配給 | 字串 | 指定警報的擁有者 |
| 分類 | 字串 | 規範指定警示的規範。 性質值為:TruePositive、、 Informational, expected activityFalsePositive和 。 |
| 㦰 | 字串 | 指定對指定警報的判定方式。 每種分類可能的判定值如下: Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) ——考慮相應地更改公開 API 中的列舉名稱, (Malware Malware) 、 Phishing (釣魚) 、 Unwanted software (UnwantedSoftware) 以及 (其他) Other 。 Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedUserActivity) ——請考慮在公開 API 中更改列舉名稱,並 Other (其他) 。 Not malicious (清理) - 考慮在公開 API 中更改 enum 名稱, (Not enough data to validate InsufficientData) ,並 Other (其他) 。 |
| 註解 | 字串 | 請在指定的警示中加入留言。 |
注意事項
約在 2022 年 8 月 29 日,先前支援的警報判定值 (「Apt」與「SecurityPersonnel ) 將被棄用,且不再透過 API 提供。
回應
若成功,此方法回傳 200 OK,回應體為空。
範例
求
以下是請求的範例。
POST https://api.security.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}