Atualizar alerta

Aplica-se a:

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Observação

Se você for um cliente do governo dos EUA, use as URIs listadas em Microsoft Defender para Ponto de Extremidade para clientes do governo dos EUA.

Dica

Para obter um melhor desempenho, você pode usar o servidor mais próximo da localização geográfica:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com
  • api-au.securitycenter.microsoft.com

Descrição da API

Atualizações propriedades do Alerta existente.

O envio de comentários está disponível com ou sem atualização de propriedades.

As propriedades updatable são: status, determination, classificatione assignedTo.

Limitações

  1. Você pode atualizar alertas disponíveis na API. Para obter mais informações, consulte Alertas de lista.
  2. As limitações de taxa para essa API são 100 chamadas por minuto e 1500 chamadas por hora.

Permissões

Uma das seguintes permissões é necessária para chamar esta API. Para saber mais, incluindo como escolher permissões, consulte Usar APIs de Microsoft Defender para Ponto de Extremidade

Tipo de permissão Permissão Nome da exibição de permissão
Application Alertas.ReadWrite.All 'Ler e gravar todos os alertas'
Delegado (conta corporativa ou de estudante) Alert.ReadWrite 'Alertas de leitura e gravação'

Observação

Ao obter um token usando credenciais de usuário:

  • O usuário precisa ter pelo menos a seguinte permissão de função: 'Investigação de alertas' (Para obter mais informações, consulte Criar e gerenciar funções)
  • O usuário precisa ter acesso ao dispositivo associado ao alerta, com base nas configurações do grupo de dispositivos (Para obter mais informações, consulte Criar e gerenciar grupos de dispositivos

Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.

Solicitação HTTP

PATCH /api/alerts/{id}

Cabeçalhos de solicitação

Nome Tipo Descrição
Autorização Cadeia de caracteres {token} de portador. Obrigatório.
Content-Type Cadeia de Caracteres application/json. Obrigatório.

Corpo da solicitação

No corpo da solicitação, forneça os valores para os campos relevantes que devem ser atualizados.

As propriedades existentes que não estão incluídas no corpo da solicitação manterão seus valores anteriores ou serão recalculadas com base em alterações em outros valores de propriedade.

Para melhor desempenho, você não deve incluir valores existentes que não foram alterados.

Propriedade Tipo Descrição
Status Cadeia de caracteres Especifica o status atual do alerta. Os valores da propriedade são: 'New', 'InProgress' e 'Resolved'.
assignedTo Cadeia de caracteres Proprietário do alerta
Classificação Cadeia de caracteres Especifica a especificação do alerta. Os valores da propriedade são: TruePositive, InformationalExpectedActivitye FalsePositive.
Determinação Cadeia de caracteres Especifica a determinação do alerta.

Os valores de determinação possíveis para cada classificação são:

  • True positive: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – considere alterar o nome da enumeração na api pública de acordo, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Outros).
  • Atividade informativa e esperada:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) – considere alterar o nome da enumeração na api pública de acordo e Other (Outros).
  • Falso positivo:Not malicious (NotMalicious) – considere alterar o nome da enumeração na api pública de acordo, Not enough data to validate (InsufficientData) e Other (Outros).
  • Comentário String Comente a ser adicionado ao alerta.

    Observação

    Por volta de 29 de agosto de 2022, os valores de determinação de alerta com suporte anterior ('Apt' e 'SecurityPersonnel') serão preteridos e não estarão mais disponíveis por meio da API.

    Resposta

    Se for bem-sucedido, esse método retornará 200 OK e a entidade de alerta no corpo da resposta com as propriedades atualizadas. Se o alerta com a ID especificada não tiver sido encontrado – 404 Não encontrado.

    Exemplo

    Solicitação

    Aqui está um exemplo da solicitação.

    PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
    
    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    Dica

    Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.