Atualizar alerta
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Observação
Se você for um cliente do governo dos EUA, use as URIs listadas em Microsoft Defender para Ponto de Extremidade para clientes do governo dos EUA.
Dica
Para obter um melhor desempenho, você pode usar o servidor mais próximo da localização geográfica:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
- api-au.securitycenter.microsoft.com
Descrição da API
Atualizações propriedades do Alerta existente.
O envio de comentários está disponível com ou sem atualização de propriedades.
As propriedades updatable são: status
, determination
, classification
e assignedTo
.
Limitações
- Você pode atualizar alertas disponíveis na API. Para obter mais informações, consulte Alertas de lista.
- As limitações de taxa para essa API são 100 chamadas por minuto e 1500 chamadas por hora.
Permissões
Uma das seguintes permissões é necessária para chamar esta API. Para saber mais, incluindo como escolher permissões, consulte Usar APIs de Microsoft Defender para Ponto de Extremidade
Tipo de permissão | Permissão | Nome da exibição de permissão |
---|---|---|
Application | Alertas.ReadWrite.All | 'Ler e gravar todos os alertas' |
Delegado (conta corporativa ou de estudante) | Alert.ReadWrite | 'Alertas de leitura e gravação' |
Observação
Ao obter um token usando credenciais de usuário:
- O usuário precisa ter pelo menos a seguinte permissão de função: 'Investigação de alertas' (Para obter mais informações, consulte Criar e gerenciar funções)
- O usuário precisa ter acesso ao dispositivo associado ao alerta, com base nas configurações do grupo de dispositivos (Para obter mais informações, consulte Criar e gerenciar grupos de dispositivos
Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.
Solicitação HTTP
PATCH /api/alerts/{id}
Cabeçalhos de solicitação
Nome | Tipo | Descrição |
---|---|---|
Autorização | Cadeia de caracteres | {token} de portador. Obrigatório. |
Content-Type | Cadeia de Caracteres | application/json. Obrigatório. |
Corpo da solicitação
No corpo da solicitação, forneça os valores para os campos relevantes que devem ser atualizados.
As propriedades existentes que não estão incluídas no corpo da solicitação manterão seus valores anteriores ou serão recalculadas com base em alterações em outros valores de propriedade.
Para melhor desempenho, você não deve incluir valores existentes que não foram alterados.
Propriedade | Tipo | Descrição |
---|---|---|
Status | Cadeia de caracteres | Especifica o status atual do alerta. Os valores da propriedade são: 'New', 'InProgress' e 'Resolved'. |
assignedTo | Cadeia de caracteres | Proprietário do alerta |
Classificação | Cadeia de caracteres | Especifica a especificação do alerta. Os valores da propriedade são: TruePositive , InformationalExpectedActivity e FalsePositive . |
Determinação | Cadeia de caracteres | Especifica a determinação do alerta. Os valores de determinação possíveis para cada classificação são: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – considere alterar o nome da enumeração na api pública de acordo, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) e Other (Outros). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) – considere alterar o nome da enumeração na api pública de acordo e Other (Outros). Not malicious (NotMalicious) – considere alterar o nome da enumeração na api pública de acordo, Not enough data to validate (InsufficientData) e Other (Outros). |
Comentário | String | Comente a ser adicionado ao alerta. |
Observação
Por volta de 29 de agosto de 2022, os valores de determinação de alerta com suporte anterior ('Apt' e 'SecurityPersonnel') serão preteridos e não estarão mais disponíveis por meio da API.
Resposta
Se for bem-sucedido, esse método retornará 200 OK e a entidade de alerta no corpo da resposta com as propriedades atualizadas. Se o alerta com a ID especificada não tiver sido encontrado – 404 Não encontrado.
Exemplo
Solicitação
Aqui está um exemplo da solicitação.
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: ao longo de 2024, vamos eliminar problemas do GitHub como o mecanismo de comentários para conteúdo e substituí-lo por um novo sistema de comentários. Para obter mais informações, consulte:Enviar e exibir comentários de