Beskeder om batchopdatering
Gælder for:
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Bemærk!
Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for us Government-kunder.
Tip
For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
API-beskrivelse
Opdateringer egenskaber for en batch af eksisterende beskeder.
Indsendelse af kommentar er tilgængelig med eller uden at opdatere egenskaber.
Egenskaber, der kan opdateres, er: status, determinationclassification og assignedTo.
Begrænsninger
- Du kan opdatere beskeder, der er tilgængelige i API'en. Du kan få flere oplysninger under Listebeskeder.
- Hastighedsbegrænsninger for denne API er 10 kald pr. minut og 500 opkald pr. time.
Tilladelser
En af følgende tilladelser er påkrævet for at kalde denne API. Du kan få mere at vide, herunder hvordan du vælger tilladelser, under Brug Microsoft Defender for Endpoint API'er
| Tilladelsestype | Tilladelse | Vist navn for tilladelse |
|---|---|---|
| Program | Alert.ReadWrite.All | 'Læs og skriv til alle beskeder' |
| Uddelegeret (arbejds- eller skolekonto) | Alert.ReadWrite | 'Læs og skriv beskeder' |
Bemærk!
Når du henter et token ved hjælp af brugerlegitimationsoplysninger:
- Brugeren skal som minimum have følgende rolletilladelse: 'Undersøgelse af beskeder'. Du kan få flere oplysninger under Create og administrere roller.
- Brugeren skal have adgang til den enhed, der er knyttet til beskeden, baseret på indstillingerne for enhedsgruppe. Du kan få flere oplysninger under Create og administrer enhedsgrupper.
Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.
HTTP-anmodning
POST /api/alerts/batchUpdate
Anmodningsheadere
| Navn | Type | Beskrivelse |
|---|---|---|
| Tilladelse | String | Ihændehaver {token}. Påkrævet. |
| Indholdstype | String | application/json. Påkrævet. |
Brødtekst i anmodning
I anmodningens brødtekst skal du angive id'erne for de beskeder, der skal opdateres, og værdierne for de relevante felter, du vil opdatere for disse beskeder.
Eksisterende egenskaber, der ikke er inkluderet i anmodningens brødtekst, bevarer deres tidligere værdier eller genberegnes på baggrund af ændringer af andre egenskabsværdier.
For at opnå den bedste ydeevne skal du ikke inkludere eksisterende værdier, der ikke er blevet ændret.
| Ejendom | Type | Beskrivelse |
|---|---|---|
| alertIds | Listestreng<> | En liste over id'erne for de beskeder, der skal opdateres. Påkrævet |
| Status | String | Angiver den opdaterede status for de angivne beskeder. Egenskabsværdierne er: 'New', 'InProgress' og 'Resolved'. |
| tildelt til | String | Ejer af de angivne beskeder |
| Klassificering | String | Angiver specifikationen af de angivne beskeder. Egenskabsværdierne er: TruePositive, Informational, expected activityog FalsePositive. |
| Bestemmelse | String | Angiver bestemmelse af de angivne beskeder. De mulige bestemmelsesværdier for hver klassificering er: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Malware Malware), Phishing (Phishing), Unwanted software (Uønsket software) og Other (Andet). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – overvej at ændre optællingsnavnet i den offentlige API tilsvarende og Other (Andet). Not malicious (Clean) – overvej at ændre optællingsnavnet i den offentlige API i overensstemmelse hermed ( Not enough data to validate InsufficientData) og Other (Other). |
| Kommentar | String | Kommentar, der skal føjes til de angivne beskeder. |
Bemærk!
Omkring den 29. august 2022 frarådes tidligere understøttede værdier for bestemmelse af beskeder ('Apt' og 'SecurityPersonnel') og er ikke længere tilgængelige via API'en.
Svar
Hvis det lykkes, returnerer denne metode 200 OK med en tom svartekst.
Eksempel
Anmodning
Her er et eksempel på anmodningen.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om