Actualizar alertaUpdate alert

Se aplica a:Applies to:

¿Desea experimentar Microsoft Defender para endpoint?Want to experience Microsoft Defender for Endpoint? Regístrate para obtener una versión de prueba gratuita.Sign up for a free trial.

Nota

Si es un cliente del Gobierno de Estados Unidos, use los URI que aparecen en Microsoft Defender para endpoints para clientes de US Government.If you are a US Government customer, please use the URIs listed in Microsoft Defender for Endpoint for US Government customers.

Sugerencia

Para un mejor rendimiento, puede usar el servidor más cerca de la ubicación geográfica:For better performance, you can use server closer to your geo location:

  • api-us.securitycenter.microsoft.comapi-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.comapi-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.comapi-uk.securitycenter.microsoft.com

Descripción de la APIAPI description

Actualiza las propiedades dealert existente .Updates properties of existing Alert.
El envío de comentarios está disponible con o sin actualizar propiedades.Submission of comment is available with or without updating properties.
Las propiedades actualizables son: status determination , y classification assignedTo .Updatable properties are: status, determination, classification and assignedTo.

LimitacionesLimitations

  1. Puede actualizar las alertas disponibles en la API.You can update alerts that available in the API. Vea Enumerar alertas para obtener más información.See List Alerts for more information.
  2. Las limitaciones de velocidad para esta API son 100 llamadas por minuto y 1500 llamadas por hora.Rate limitations for this API are 100 calls per minute and 1500 calls per hour.

PermisosPermissions

Se requiere uno de los siguientes permisos para llamar a esta API.One of the following permissions is required to call this API. Para obtener más información, incluido cómo elegir permisos, consulte Use Microsoft Defender for Endpoint APITo learn more, including how to choose permissions, see Use Microsoft Defender for Endpoint APIs

Tipo de permisoPermission type PermisoPermission Nombre para mostrar de permisosPermission display name
AplicaciónApplication Alerts.ReadWrite.AllAlerts.ReadWrite.All 'Leer y escribir todas las alertas''Read and write all alerts'
Delegado (cuenta profesional o educativa)Delegated (work or school account) Alert.ReadWriteAlert.ReadWrite 'Leer y escribir alertas''Read and write alerts'

Nota

Al obtener un token con credenciales de usuario:When obtaining a token using user credentials:

  • El usuario debe tener al menos el siguiente permiso de función: "Investigación de alertas" (vea Crear y administrar roles para obtener más información)The user needs to have at least the following role permission: 'Alerts investigation' (See Create and manage roles for more information)
  • El usuario debe tener acceso al dispositivo asociado a la alerta, según la configuración del grupo de dispositivos (consulta Crear y administrar grupos de dispositivos para obtener más información)The user needs to have access to the device associated with the alert, based on device group settings (See Create and manage device groups for more information)

Solicitud HTTPHTTP request

PATCH /api/alerts/{id}

Encabezados de solicitudRequest headers

NombreName TipoType DescripciónDescription
AuthorizationAuthorization CadenaString Portador {token}.Bearer {token}. Necesario.Required.
Content-TypeContent-Type CadenaString application/json.application/json. Necesario.Required.

Cuerpo de la solicitudRequest body

En el cuerpo de la solicitud, proporcione los valores de los campos relevantes que deben actualizarse.In the request body, supply the values for the relevant fields that should be updated.
Las propiedades existentes que no se incluyan en el cuerpo de la solicitud mantendrán los valores anteriores o se recalcularán según los cambios efectuados en otros valores de propiedad.Existing properties that are not included in the request body will maintain their previous values or be recalculated based on changes to other property values.
Para obtener el mejor rendimiento, no debe incluir valores existentes que no hayan cambiado.For best performance you shouldn't include existing values that haven't change.

PropiedadProperty TipoType DescripciónDescription
statusstatus CadenaString Especifica el estado actual de la alerta.Specifies the current status of the alert. Los valores de propiedad son: 'New', 'InProgress' y 'Resolved'.The property values are: 'New', 'InProgress' and 'Resolved'.
assignedToassignedTo CadenaString Propietario de la alertaOwner of the alert
classificationclassification StringString Especifica la especificación de la alerta.Specifies the specification of the alert. Los valores de propiedad son: 'Unknown', 'FalsePositive', 'TruePositive'.The property values are: 'Unknown', 'FalsePositive', 'TruePositive'.
determinacióndetermination CadenaString Especifica la determinación de la alerta.Specifies the determination of the alert. Los valores de propiedad son: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'The property values are: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'
commentcomment StringString Comentario que se agregará a la alerta.Comment to be added to the alert.

RespuestaResponse

Si se realiza correctamente, este método devuelve 200 Ok y la entidad alert en el cuerpo de la respuesta con las propiedades actualizadas.If successful, this method returns 200 OK, and the alert entity in the response body with the updated properties. Si no se encontró la alerta con el identificador especificado: 404 No encontrado.If alert with the specified id was not found - 404 Not Found.

Ejemplo:Example

SolicitudRequest

Aquí tiene un ejemplo de la solicitud.Here is an example of the request.

PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}