API de alerta de Create
Aplica-se a:
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Nota
Se for um cliente do Us Government, utilize os URIs listados no Microsoft Defender para Endpoint para clientes do Us Government.
Sugestão
Para um melhor desempenho, pode utilizar o servidor mais próximo da localização geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
Descrição da API
Cria um novo Alerta sobre o Evento.
- Microsoft Defender para Endpoint Evento é necessário para a criação do alerta.
- Tem de fornecer três parâmetros do Evento no pedido: Hora do Evento, ID do Computador e ID do Relatório. Veja o exemplo abaixo.
- Pode utilizar um evento encontrado na API de Investigação Avançada ou no Portal.
- Se existir um alerta aberto no mesmo Dispositivo com o mesmo Título, o novo alerta criado é intercalado com o mesmo.
- Uma investigação automática é iniciada automaticamente em alertas criados através da API.
Limitações
- As limitações de taxa para esta API são de 15 chamadas por minuto.
Permissões
É necessária uma das seguintes permissões para chamar esta API. Para saber mais, incluindo como escolher permissões, veja Utilizar Microsoft Defender para Endpoint APIs.
| Tipo de permissão | Permissão | Nome a apresentar da permissão |
|---|---|---|
| Aplicação | Alert.ReadWrite.All | "Ler e escrever todos os alertas" |
| Delegado (conta escolar ou profissional) | Alert.ReadWrite | "Alertas de leitura e escrita" |
Nota
Ao obter um token com credenciais de utilizador:
- O utilizador tem de ter, pelo menos, a seguinte permissão de função: Investigação de alertas. Para obter mais informações, veja Create e gerir funções.
- O utilizador tem de ter acesso ao dispositivo associado ao alerta, com base nas definições do grupo de dispositivos. Para obter mais informações, veja Create e gerir grupos de dispositivos.
A criação do Grupo de Dispositivos é suportada no Plano 1 e Plano 2 do Defender para Endpoint
Pedido HTTP
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
Cabeçalhos de pedido
| Name | Tipo | Descrição |
|---|---|---|
| Autorização | Cadeia | Portador {token}. Obrigatório. |
| Tipo de Conteúdo | Cadeia | application/json. Obrigatório. |
Corpo do pedido
No corpo do pedido, forneça os seguintes valores (todos são necessários):
| Propriedade | Tipo | Descrição |
|---|---|---|
| eventTime | DateTime(UTC) | O tempo exata do evento como cadeia, conforme obtido a partir da investigação avançada. Por exemplo, 2018-08-03T16:45:21.7115183ZObrigatório. |
| reportId | Cadeia | O reportId do evento, conforme obtido da investigação avançada. Obrigatório. |
| machineId | Cadeia | ID do dispositivo no qual o evento foi identificado. Obrigatório. |
| gravidade | Cadeia | Gravidade do alerta. Os valores das propriedades são: "Baixo", "Médio" e "Alto". Obrigatório. |
| título | Cadeia | Título do alerta. Obrigatório. |
| descrição | Cadeia | Descrição do alerta. Obrigatório. |
| recommendedAction | Cadeia | O agente de segurança tem de efetuar esta ação ao analisar o alerta. Obrigatório. |
| categoria | Cadeia | Categoria do alerta. Os valores das propriedades são: "Geral", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltration", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" Necessário. |
Resposta
Se for bem-sucedido, este método devolve 200 OK e um novo objeto de alerta no corpo da resposta. Se o evento com as propriedades especificadas (reportId, eventTime e machineId) não tiver sido encontrado – 404 Não Encontrado.
Exemplos:
Pedido
Eis um exemplo do pedido.
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários