Chiudere false positivo - API Avvisi

  • Articolo
  • 2 minuti per la lettura

Nota

  • Sono stati rinominati Microsoft Cloud App Security. È ora chiamato Microsoft Defender for Cloud Apps. Nelle prossime settimane verranno aggiornati gli screenshot e le istruzioni qui e nelle pagine correlate. Per altre informazioni sulla modifica, vedere questo annuncio. Per altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft, vedere il blog di Microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fa ora parte di Microsoft 365 Defender. Il portale di Microsoft 365 Defender consente agli amministratori della sicurezza di eseguire le attività di sicurezza in una posizione. Ciò semplifica i flussi di lavoro e aggiungerà la funzionalità degli altri servizi di Microsoft 365 Defender. Microsoft 365 Defender sarà la casa per il monitoraggio e la gestione della sicurezza tra le identità, i dati, i dispositivi, le app e l'infrastruttura Microsoft. Per altre informazioni su queste modifiche, vedere Microsoft Defender for Cloud Apps in Microsoft 365 Defender.

Eseguire la richiesta POST per chiudere più avvisi corrispondenti ai filtri specificati come falsi positivi (un avviso su un'attività non dannosa).

Richiesta HTTP

POST /api/v1/alerts/close_false_positive/

Parametri di Request BODY

Parametro Descrizione
filters Filtrare gli oggetti con tutti i filtri di ricerca per la richiesta, vedere Filtri di avviso per altri dettagli
comment Un commento sul motivo per cui gli avvisi vengono ignorati
reasonId Motivo della chiusura degli avvisi come falsi positivi. Fornendo un motivo aiuta a migliorare l'accuratezza del rilevamento nel tempo. I valori possibili sono:

0: Non di interesse
1: Troppi avvisi simili
3: L'avviso non è accurato
4: Altro
sendFeedback Valore booleano che indica che viene fornito un feedback su questo avviso. Valore predefinito: false
feedbackText Testo del feedback
allowContact Valore booleano che indica che il consenso per contattare l'utente viene fornito. Valore predefinito: false
contactEmail L'indirizzo e-mail dell'utente

Esempio

Richiesta

Ecco un esempio della richiesta.

curl -XPOST -H "Authorization:Token <your_token_key>" -H "Content-Type: application/json" "https://<tenant_id>.<tenant_region>.contoso.com/api/v1/alerts/close_false_positive/" -d '{
  "filters": {
    "id": {
      "eq": [
        "55af7415f8a0a7a29eef2e1f",
        "55af741cf8a0a7a29eef2e20",
        "5f8d70bfc1ffb25b0a541c7d"
      ]
    }
  },
  "comment": "Irrelevant",
  "reasonId": 0,
  "sendFeedback": true,
  "feedbackText": "Feedback text",
  "allowContact": true,
  "contactEmail": " user@contoso.com"
}'

Risposta

Risposta se l'avviso è stato chiuso correttamente

{
    "closed_false_positive": 1
}

Risposta se l'avviso non è stato trovato

{
    "closed_false_positive": 0,
    "alertsNotFound": [
        "5f843e9cfe3f6d80fe58a962"
    ]
}

Se si verificano problemi, sono disponibili assistenza e supporto. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.