API Create besked
Gælder for:
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Bemærk!
Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for us Government-kunder.
Tip
For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
API-beskrivelse
Opretter ny besked oven på hændelsen.
- Microsoft Defender for Endpoint Hændelse er påkrævet for oprettelsen af beskeden.
- Du skal angive tre parametre fra hændelsen i anmodningen: Hændelsestid, computer-id og rapport-id. Se eksemplet nedenfor.
- Du kan bruge en hændelse, der findes i Advanced Hunting API eller Portal.
- Hvis der findes en åben besked på den samme enhed med samme titel, flettes den nye oprettede besked med den.
- En automatisk undersøgelse starter automatisk på beskeder, der er oprettet via API'en.
Begrænsninger
- Hastighedsbegrænsninger for denne API er 15 kald pr. minut.
Tilladelser
En af følgende tilladelser er påkrævet for at kalde denne API. Hvis du vil vide mere, herunder hvordan du vælger tilladelser, skal du se Brug Microsoft Defender for Endpoint API'er.
| Tilladelsestype | Tilladelse | Vist navn for tilladelse |
|---|---|---|
| Program | Alert.ReadWrite.All | 'Læs og skriv til alle beskeder' |
| Uddelegeret (arbejds- eller skolekonto) | Alert.ReadWrite | 'Læs og skriv beskeder' |
Bemærk!
Når du henter et token ved hjælp af brugerlegitimationsoplysninger:
- Brugeren skal som minimum have følgende rolletilladelse: Undersøgelse af beskeder. Du kan få flere oplysninger under Create og administrere roller.
- Brugeren skal have adgang til den enhed, der er knyttet til beskeden, baseret på indstillingerne for enhedsgruppe. Du kan få flere oplysninger under Create og administrer enhedsgrupper.
Oprettelse af enhedsgruppe understøttes i både Defender for Endpoint Plan 1 og Plan 2
HTTP-anmodning
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
Anmodningsheadere
| Navn | Type | Beskrivelse |
|---|---|---|
| Tilladelse | String | Ihændehaver {token}. Påkrævet. |
| Indholdstype | String | application/json. Påkrævet. |
Brødtekst i anmodning
I anmodningens brødtekst skal du angive følgende værdier (alle er påkrævet):
| Ejendom | Type | Beskrivelse |
|---|---|---|
| eventTime | DateTime(UTC) | Det præcise tidspunkt for begivenheden som streng, som opnås ved avanceret jagt. F.eks2018-08-03T16:45:21.7115183Z. Påkrævet. |
| reportId | String | ReportId for hændelsen som hentet fra avanceret jagt. Påkrævet. |
| machineId | String | Id'et for den enhed, som hændelsen blev identificeret på. Påkrævet. |
| Sværhedsgraden | String | Alvorsgraden af beskeden. Egenskabsværdierne er: 'Low', 'Medium' og 'High'. Påkrævet. |
| Titel | String | Titel på beskeden. Påkrævet. |
| Beskrivelse | String | Beskrivelse af beskeden. Påkrævet. |
| recommendedAction | String | Sikkerhedsofficeren skal udføre denne handling, når beskeden analyseres. Påkrævet. |
| Kategori | String | Kategorien for beskeden. Egenskabsværdierne er: "General", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltration", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" Required. |
Svar
Hvis det lykkes, returnerer denne metode 200 OK og et nyt beskedobjekt i svarbrødteksten. Hvis hændelsen med de angivne egenskaber (reportId, eventTime og machineId) ikke blev fundet - 404 blev ikke fundet.
Eksempel
Anmodning
Her er et eksempel på anmodningen.
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om