API de alerta Create
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Observação
Se você for um cliente do governo dos EUA, use as URIs listadas em Microsoft Defender para Ponto de Extremidade para clientes do governo dos EUA.
Dica
Para obter um melhor desempenho, você pode usar o servidor mais próximo da localização geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
Descrição da API
Cria um novo alerta na parte superior do Evento.
- Microsoft Defender para Ponto de Extremidade Evento é necessário para a criação do alerta.
- Você precisa fornecer três parâmetros do Evento na solicitação: Tempo de evento, ID do computador e ID do relatório. Veja o exemplo a seguir.
- Você pode usar um evento encontrado na API ou Portal de Caça Avançada.
- Se houver um alerta aberto no mesmo dispositivo com o mesmo Título, o novo alerta criado será mesclado com ele.
- Uma investigação automática começa automaticamente em alertas criados por meio da API.
Limitações
- As limitações de taxa para essa API são de 15 chamadas por minuto.
Permissões
Uma das seguintes permissões é necessária para chamar esta API. Para saber mais, incluindo como escolher permissões, consulte Usar APIs de Microsoft Defender para Ponto de Extremidade.
| Tipo de permissão | Permissão | Nome da exibição de permissão |
|---|---|---|
| Application | Alert.ReadWrite.All | 'Ler e gravar todos os alertas' |
| Delegado (conta corporativa ou de estudante) | Alert.ReadWrite | 'Alertas de leitura e gravação' |
Observação
Ao obter um token usando credenciais de usuário:
- O usuário precisa ter pelo menos a seguinte permissão de função: investigação de alertas. Para obter mais informações, consulte Create e gerenciar funções.
- O usuário precisa ter acesso ao dispositivo associado ao alerta, com base nas configurações do grupo de dispositivos. Para obter mais informações, consulte Create e gerenciar grupos de dispositivos.
Há suporte para a criação do Grupo de Dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade
Solicitação HTTP
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
Cabeçalhos de solicitação
| Nome | Tipo | Descrição |
|---|---|---|
| Autorização | Cadeia de caracteres | {token} de portador. Obrigatório. |
| Content-Type | Cadeia de Caracteres | application/json. Obrigatório. |
Corpo da solicitação
No corpo da solicitação, forneça os seguintes valores (todos são necessários):
| Propriedade | Tipo | Descrição |
|---|---|---|
| eventTime | DateTime(UTC) | A hora precisa do evento como cadeia de caracteres, conforme obtido da caça avançada. Por exemplo, 2018-08-03T16:45:21.7115183ZObrigatório. |
| reportId | Cadeia de caracteres | O reportId do evento, conforme obtido da caça avançada. Obrigatório. |
| machineId | Cadeia de caracteres | Id do dispositivo no qual o evento foi identificado. Obrigatório. |
| severity | Cadeia de caracteres | Gravidade do alerta. Os valores da propriedade são: 'Baixo', 'Médio' e 'Alto'. Obrigatório. |
| title | Cadeia de caracteres | Título para o alerta. Obrigatório. |
| description | Cadeia de caracteres | Descrição do alerta. Obrigatório. |
| recommendedAction | Cadeia de caracteres | O agente de segurança precisa tomar essa ação ao analisar o alerta. Obrigatório. |
| category | Cadeia de caracteres | Categoria do alerta. Os valores da propriedade são: "Geral", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltration", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" Obrigatório. |
Resposta
Se for bem-sucedido, esse método retornará 200 OK e um novo objeto de alerta no corpo da resposta. Se o evento com as propriedades especificadas (reportId, eventTime e machineId) não tiver sido encontrado – 404 Não encontrados.
Exemplo
Solicitação
Aqui está um exemplo da solicitação.
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de