Mettre à jour une alerteUpdate alert

S’applique à :Applies to:

Vous souhaitez découvrir Microsoft Defender pour le point de terminaison ?Want to experience Microsoft Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Notes

Si vous êtes un client du gouvernement des États-Unis, utilisez les UR répertoriés dans Microsoft Defender pour endpoint pour les clients du gouvernement des États-Unis.If you are a US Government customer, please use the URIs listed in Microsoft Defender for Endpoint for US Government customers.

Conseil

Pour de meilleures performances, vous pouvez utiliser un serveur plus proche de votre emplacement géographique :For better performance, you can use server closer to your geo location:

  • api-us.securitycenter.microsoft.comapi-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.comapi-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.comapi-uk.securitycenter.microsoft.com

Description de l'APIAPI description

Met à jour les propriétés de l'alerte existante.Updates properties of existing Alert.
L'envoi de commentaire est disponible avec ou sans mise à jour des propriétés.Submission of comment is available with or without updating properties.
Les propriétés qui peuvent être mis à jour status sont : , et determination classification assignedTo .Updatable properties are: status, determination, classification and assignedTo.

LimitesLimitations

  1. Vous pouvez mettre à jour les alertes disponibles dans l'API.You can update alerts that available in the API. Pour plus d'informations, voir Alertes de liste.See List Alerts for more information.
  2. Les limites de taux pour cette API sont de 100 appels par minute et de 1 500 appels par heure.Rate limitations for this API are 100 calls per minute and 1500 calls per hour.

AutorisationsPermissions

L'une des autorisations suivantes est nécessaire pour appeler cette API.One of the following permissions is required to call this API. Pour en savoir plus, notamment sur le choix des autorisations, voir Utiliser Microsoft Defender pour les API de point de terminaisonTo learn more, including how to choose permissions, see Use Microsoft Defender for Endpoint APIs

Type d’autorisationPermission type AutorisationPermission Nom d'affichage de l'autorisationPermission display name
ApplicationApplication Alerts.ReadWrite.AllAlerts.ReadWrite.All « Lire et écrire toutes les alertes »'Read and write all alerts'
Déléguée (compte professionnel ou scolaire)Delegated (work or school account) Alert.ReadWriteAlert.ReadWrite « Lire et écrire des alertes »'Read and write alerts'

Notes

Lors de l'obtention d'un jeton à l'aide des informations d'identification de l'utilisateur :When obtaining a token using user credentials:

  • L'utilisateur doit avoir au moins l'autorisation de rôle suivante : « Enquête sur les alertes » (voir Créer et gérer des rôles pour plus d'informations)The user needs to have at least the following role permission: 'Alerts investigation' (See Create and manage roles for more information)
  • L'utilisateur doit avoir accès à l'appareil associé à l'alerte, en fonction des paramètres de groupe d'appareils (pour plus d'informations, voir Créer et gérer des groupes d'appareils) The user needs to have access to the device associated with the alert, based on device group settings (See Create and manage device groups for more information)

Requête HTTPHTTP request

PATCH /api/alerts/{id}

En-têtes de demandeRequest headers

NomName TypeType DescriptionDescription
AutorisationAuthorization ChaîneString Porteur {token}.Bearer {token}. Obligatoire.Required.
Content-TypeContent-Type StringString application/json.application/json. Obligatoire.Required.

Corps de la demandeRequest body

Dans le corps de la demande, fournissons les valeurs des champs appropriés qui doivent être mis à jour.In the request body, supply the values for the relevant fields that should be updated.
Les propriétés existantes qui ne sont pas incluses dans le corps de la demande conserveront leurs valeurs précédentes ou seront recalculées en fonction des modifications apportées à d’autres valeurs des propriétés.Existing properties that are not included in the request body will maintain their previous values or be recalculated based on changes to other property values.
Pour de meilleures performances, n'incluez pas de valeurs existantes qui n'ont pas changé.For best performance you shouldn't include existing values that haven't change.

PropriétéProperty TypeType DescriptionDescription
statusstatus ChaîneString Spécifie l'état actuel de l'alerte.Specifies the current status of the alert. Les valeurs des propriétés sont : « New » (nouveau), « InProgress » (InProgress) et « Resolved » (résolu).The property values are: 'New', 'InProgress' and 'Resolved'.
assignedToassignedTo ChaîneString Propriétaire de l'alerteOwner of the alert
classificationclassification StringString Spécifie la spécification de l'alerte.Specifies the specification of the alert. Les valeurs de propriété sont : « Unknown » (inconnu), « FalsePositive » (fauxpositif), « TruePositive » (vraipositif).The property values are: 'Unknown', 'FalsePositive', 'TruePositive'.
déterminationdetermination ChaîneString Spécifie la détermination de l'alerte.Specifies the determination of the alert. Les valeurs de propriété sont : 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'The property values are: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'
commentcomment StringString Commentaire à ajouter à l'alerte.Comment to be added to the alert.

RéponseResponse

Si elle réussit, cette méthode renvoie 200 OK et l'entité d'alerte dans le corps de la réponse avec les propriétés mises à jour. If successful, this method returns 200 OK, and the alert entity in the response body with the updated properties. Si l'alerte avec l'ID spécifié est in trouvée - 404 - In trouvé.If alert with the specified id was not found - 404 Not Found.

ExempleExample

DemandeRequest

Voici un exemple de demande.Here is an example of the request.

PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}