경고 업데이트
적용 대상:
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
참고
미국 정부 고객인 경우 미국 정부 고객을 위해 엔드포인트용 Microsoft Defender 나열된 URI를 사용하세요.
팁
성능을 향상시키려면 서버를 지리적 위치에 더 가깝게 사용할 수 있습니다.
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
API 설명
기존 경고의 속성을 업데이트.
주석 제출은 속성을 업데이트하거나 업데이트하지 않고 사용할 수 있습니다.
업다이블 속성은 , , determinationclassification및 assignedTo입니다status.
제한 사항
- API에서 사용할 수 있는 경고를 업데이트할 수 있습니다. 자세한 내용은 경고 나열을 참조하세요.
- 이 API에 대한 속도 제한은 분당 100개 호출 및 시간당 1500개 호출입니다.
권한
이 API를 호출하려면 다음 권한 중 하나가 필요합니다. 사용 권한을 선택하는 방법을 포함하여 자세한 내용은 엔드포인트용 Microsoft Defender API 사용을 참조하세요.
| 사용 권한 유형 | 사용 권한 | 사용 권한 표시 이름 |
|---|---|---|
| 응용 프로그램 | Alerts.ReadWrite.All | '모든 경고 읽기 및 쓰기' |
| 위임됨(회사 또는 학교 계정) | Alert.ReadWrite | '경고 읽기 및 쓰기' |
참고
사용자 자격 증명을 사용하여 토큰을 가져오는 경우:
- 사용자에게 '경고 조사'라는 역할 권한이 있어야 합니다(자세한 내용은 역할 Create 및 관리 참조).
- 사용자는 디바이스 그룹 설정에 따라 경고와 연결된 디바이스에 액세스할 수 있어야 합니다(자세한 내용은 디바이스 그룹 Create 및 관리를 참조하세요.
디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1 및 플랜 2에서 지원됩니다.
HTTP 요청
PATCH /api/alerts/{id}
요청 헤더
| 이름 | 유형 | 설명 |
|---|---|---|
| 권한 부여 | String | 전달자 {token}. 필수입니다. |
| Content-Type | String | application/json. 필수입니다. |
요청 본문
요청 본문에서 업데이트해야 하는 관련 필드의 값을 제공합니다.
요청 본문에 포함되지 않은 기존 속성은 이전 값을 유지하거나 다른 속성 값의 변경 내용에 따라 다시 계산됩니다.
최상의 성능을 위해 변경되지 않은 기존 값을 포함해서는 안 됩니다.
| 속성 | 유형 | 설명 |
|---|---|---|
| 상태 | String | 경고의 현재 상태 지정합니다. 속성 값은 '새로 만들기', 'InProgress' 및 'Resolved'입니다. |
| assignedTo | String | 경고 소유자 |
| 분류 | String | 경고의 사양을 지정합니다. 속성 값은 , InformationalExpectedActivity및 FalsePositive입니다TruePositive. |
| 결정 | String | 경고의 결정을 지정합니다. 각 분류에 대해 가능한 결정 값은 다음과 같습니다. Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – 그에 따라 Malware public api에서 열거형 이름을 변경하는 것이 좋습니다. (맬웨어), (피싱), PhishingUnwanted software (UnwantedSoftware) 및 Other (기타). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) - 그에 따라 public api에서 열거형 이름을 변경하는 것이 좋습니다. 및 Other (기타). Not malicious (NotMalicious) - 그에 따라 Not enough data to validate public api에서 열거형 이름을 변경하는 것이 좋습니다(InsufficientData) 및 Other (기타). |
| Comment | String | 경고에 추가할 주석입니다. |
참고
2022년 8월 29일 경에는 이전에 지원되었던 경고 결정 값('Apt' 및 'SecurityPersonnel')이 더 이상 사용되지 않으며 API를 통해 더 이상 사용할 수 없습니다.
응답
성공하면 이 메서드는 200 OK를 반환하고 업데이트된 속성이 있는 응답 본문의 경고 엔터티를 반환합니다. 지정된 ID가 있는 경고를 찾을 수 없는 경우 - 404 찾을 수 없습니다.
예제
요청
다음은 요청의 예입니다.
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기