Fechar falso positivo - Alertas API

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão a mudar. Leia mais sobre esta e outras atualizações aqui. Vamos atualizar nomes em produtos e nos documentos num futuro próximo.

Executar o pedido DO POST para fechar vários alertas que correspondam aos filtros especificados como falsos positivos (um alerta sobre uma atividade não maliciosa).

Pedido HTTP

POST /api/v1/alerts/close_false_positive/

Solicitar parâmetros BODY

Parâmetro Descrição
filtros Filtrar objetos com todos os filtros de pesquisa para o pedido, consulte filtros de alerta para mais detalhes
comentário Um comentário sobre o porquê dos alertas serem dispensados
reasonId A razão para fechar os alertas como falso positivo. Fornecer uma razão ajuda a melhorar a precisão da deteção ao longo do tempo. Valores possíveis incluem:

0: Sem interesse
1: Demasiados alertas semelhantes
3: O alerta não é preciso
4: Outros
sendFeedback Um valor booleano indicando que o feedback sobre este alerta é fornecido. Valor predefinido: falso
feedbackTexto O texto do feedback
permitirContact É fornecido um valor booleano que indique o consentimento para contactar o utilizador. Valor predefinido: falso
contatoEmail O endereço de e-mail do utilizador

Exemplo

Pedir

Aqui está um exemplo do pedido.

curl -XPOST -H "Authorization:Token <your_token_key>" "https://<tenant_id>.<tenant_region>.contoso.com/api/v1/alerts/close_false_positive/" -d '{
  "filters": {
    "id": {
      "eq": [
        "55af7415f8a0a7a29eef2e1f",
        "55af741cf8a0a7a29eef2e20",
        "5f8d70bfc1ffb25b0a541c7d"
      ]
    }
  },
  "comment": "Irrelevant",
  "reasonId": 0,
  "sendFeedback": true,
  "feedbackText": "Feedback text",
  "allowContact": true,
  "contactEmail": " user@contoso.com"
}'

Resposta

Resposta se o alerta foi devidamente fechado

{
    "closed_false_positive": 1
}

Resposta se o alerta não for encontrado

{
    "closed_false_positive": 0,
    "alertsNotFound": [
        "5f843e9cfe3f6d80fe58a962"
    ]
}

Se tiver algum problema, estamos aqui para ajudar. Para obter assistência ou suporte para o seu problema de produto, abra um bilhete de apoio.