Mettre à jour une alerte

  • Article

Espace de noms: microsoft.graph

Mettez à jour une propriété d’alerte modifiable au sein d’une solution intégrée pour que les status et les affectations des alertes restent synchronisées entre les solutions. Cette méthode met à jour toute solution qui a un enregistrement de l’ID d’alerte référencé.

Cette API est disponible dans les déploiements de cloud national suivants.

Service global Gouvernement des États-Unis L4 Us Government L5 (DOD) Chine gérée par 21Vianet

Autorisations

Choisissez l’autorisation ou les autorisations marquées comme moins privilégiées pour cette API. Utilisez une autorisation ou des autorisations privilégiées plus élevées uniquement si votre application en a besoin. Pour plus d’informations sur les autorisations déléguées et d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez les informations de référence sur les autorisations.

Type d’autorisation Autorisations avec privilèges minimum Autorisations privilégiées plus élevées
Déléguée (compte professionnel ou scolaire) SecurityEvents.ReadWrite.All Non disponible.
Déléguée (compte Microsoft personnel) Non prise en charge. Non prise en charge.
Application SecurityEvents.ReadWrite.All Non disponible.

Requête HTTP

Note: Vous devez inclure l’ID d’alerte en tant que paramètre et vendorInformation contenant et providervendor avec cette méthode.

PATCH /security/alerts/{alert_id}

En-têtes de demande

Nom Description
Autorisation Porteur {code}. Obligatoire.
Préférence return=representation. Facultatif.

Corps de la demande

Dans le corps de la demande, fournissez une représentation JSON des valeurs des champs pertinents qui doivent être mis à jour. Le corps doit contenir la propriété vendorInformation avec des champs et vendor validesprovider. Le tableau suivant répertorie les champs qui peuvent être mis à jour pour une alerte. Les valeurs des propriétés existantes qui ne sont pas incluses dans le corps de la demande ne changent pas. Pour de meilleures performances, n’incluez pas de valeurs existantes qui n’ont pas été modifiées.

Propriété Type Description
assignedTo Chaîne Nom de l’analyste auquel l’alerte est affectée pour le triage, l’investigation ou la correction.
closedDateTime DateTimeOffset Heure à laquelle l’alerte a été fermée. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z.
commentaires Collection de chaîne Commentaires de l’analyste sur l’alerte (pour la gestion des alertes client). Cette méthode peut mettre à jour le champ commentaires avec les valeurs suivantes uniquement : Closed in IPC, Closed in MCAS.
commentaires alertFeedback Commentaires analyste sur l’alerte. Les valeurs possibles sont les suivantes : unknown, truePositive, falsePositive, benignPositive.
statut alertStatus Cycle de vie de l’alerte status (phase). Les valeurs possibles sont les suivantes : unknown, newAlert, inProgress, resolved.
étiquettes String collection Étiquettes définissables par l’utilisateur qui peuvent être appliquées à une alerte et peuvent servir de conditions de filtre (par exemple, « HVA », « SAW »).
vendorInformation securityVendorInformation Type complexe qui contient des détails sur le fournisseur, le fournisseur et le sous-fournisseur de produits/services de sécurité (par exemple, vendor=Microsoft; provider=Windows Defender ATP; subProvider=AppLocker). Les champs fournisseur et fournisseur sont obligatoires.

Réponse

Si elle réussit, cette méthode renvoie un code de réponse 204 No Content.

Si l’en-tête de requête facultatif est utilisé, la méthode renvoie un 200 OK code de réponse et un objet d’alerte mis à jour dans le corps de la réponse.

Exemples

Exemple 1 : Demande sans en-tête Prefer

Demande

L’exemple suivant illustre une demande.

PATCH https://graph.microsoft.com/v1.0/security/alerts/{alert_id}
Content-type: application/json

{
  "assignedTo": "String",
  "closedDateTime": "String (timestamp)",
  "comments": [
    "String"
  ],
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": [
    "String"
  ],
  "vendorInformation": {
    "provider": "String",
    "vendor": "String"
  }
}

Réponse

Voici un exemple de réponse réussie.

HTTP/1.1 204 No Content

Exemple 2 : Requête avec en-tête Prefer

Demande

L’exemple suivant montre une requête qui inclut l’en-tête de requête Prefer .

PATCH https://graph.microsoft.com/v1.0/security/alerts/{alert_id}
Content-type: application/json
Prefer: return=representation

{
  "assignedTo": "String",
  "closedDateTime": "String (timestamp)",
  "comments": [
    "String"
  ],
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": [
    "String"
  ],
  "vendorInformation": {
    "provider": "String",
    "vendor": "String"
  }
}

Réponse

Voici un exemple de réponse lorsque l’en-tête de requête facultatif Prefer: return=representation est utilisé.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-type: application/json

{
  "activityGroupName": "activityGroupName-value",
  "assignedTo": "assignedTo-value",
  "azureSubscriptionId": "azureSubscriptionId-value",
  "azureTenantId": "azureTenantId-value",
  "category": "category-value",
  "closedDateTime": "datetime-value"
}