Пакетные оповещения об обновленииBatch update alerts

Применяется к: Microsoft Defender для конечной точкиApplies to: Microsoft Defender for Endpoint

Примечание

Если вы клиент правительства США, используйте URL-адреса, указанные в Microsoft Defender для конечных точек для государственных клиентов США.If you are a US Government customer, please use the URIs listed in Microsoft Defender for Endpoint for US Government customers.

Совет

Для улучшения производительности можно использовать сервер ближе к географическому расположению:For better performance, you can use server closer to your geo location:

  • api-us.securitycenter.microsoft.comapi-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.comapi-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.comapi-uk.securitycenter.microsoft.com

Описание APIAPI description

Обновляет свойства пакета существующих оповещений.Updates properties of a batch of existing Alerts.
Отправка комментариев доступна с свойствами или без обновления.Submission of comment is available with or without updating properties.
Updatable свойства: status , determination и classification assignedTo .Updatable properties are: status, determination, classification and assignedTo.

ОграниченияLimitations

  1. Можно обновить оповещения, доступные в API.You can update alerts that are available in the API. Дополнительные сведения см. в списке Оповещений.See List Alerts for more information.
  2. Ограничения скорости для этого API : 10 вызовов в минуту и 500 вызовов в час.Rate limitations for this API are 10 calls per minute and 500 calls per hour.

РазрешенияPermissions

Для вызова этого API требуется одно из следующих разрешений.One of the following permissions is required to call this API. Дополнительные дополнительные информации, в том числе о выборе разрешений, см. в этой ссылке: Использование API endpoint Defender для Microsoft DefenderTo learn more, including how to choose permissions, see Use Microsoft Defender for Endpoint APIs

Тип разрешенияPermission type РазрешениеPermission Имя отображения разрешенийPermission display name
ПриложениеApplication Alerts.ReadWrite.AllAlerts.ReadWrite.All 'Read and write all alerts''Read and write all alerts'
Делегированные (рабочая или учебная учетная запись)Delegated (work or school account) Alert.ReadWriteAlert.ReadWrite 'Read and write alerts''Read and write alerts'

Примечание

При получении маркера с помощью учетных данных пользователей:When obtaining a token using user credentials:

  • У пользователя должно быть по крайней мере следующее разрешение на роль: "Оповещение о расследовании" (см. в рублях Создание ролей и управление ими для получения дополнительных сведений)The user needs to have at least the following role permission: 'Alerts investigation' (See Create and manage roles for more information)
  • Пользователь должен иметь доступ к устройству, связанному с оповещением, на основе параметров группы устройств (см. дополнительные сведения о создании и управлении группами устройств).The user needs to have access to the device associated with the alert, based on device group settings (See Create and manage device groups for more information)

HTTP-запросHTTP request

POST /api/alerts/batchUpdate

Заголовки запросовRequest headers

ИмяName ТипType ОписаниеDescription
АвторизацияAuthorization StringString Bearer {token}.Bearer {token}. Обязательное поле.Required.
Content-TypeContent-Type StringString application/json.application/json. Обязательное поле.Required.

Тело запросаRequest body

В теле запроса поставляем ID-данные оповещений, которые необходимо обновить, и значения соответствующих полей, которые необходимо обновить для этих оповещений.In the request body, supply the IDs of the alerts to be updated and the values of the relevant fields that you wish to update for these alerts.
Предыдущие значения существующих свойств, не включенных в текст запроса, останутся прежними или будут повторно вычислены с учетом измененных значений других свойств.Existing properties that are not included in the request body will maintain their previous values or be recalculated based on changes to other property values.
Для достижения оптимальной производительности не следует включать существующие значения, которые не изменились.For best performance you shouldn't include existing values that haven't changed.

СвойствоProperty ТипType ОписаниеDescription
alertIdsalertIds Строка < списка>List<String> Список ID-списков оповещений, которые необходимо обновить.A list of the IDs of the alerts to be updated. RequiredRequired
statusstatus StringString Указывает обновленный статус указанных оповещений.Specifies the updated status of the specified alerts. Значения свойств: "New", "InProgress" и "Resolved".The property values are: 'New', 'InProgress' and 'Resolved'.
assignedToassignedTo StringString Владелец указанных оповещенийOwner of the specified alerts
classificationclassification StringString Указывает спецификацию указанных оповещений.Specifies the specification of the specified alerts. Значения свойств: "Неизвестный", "FalsePositive", "TruePositive".The property values are: 'Unknown', 'FalsePositive', 'TruePositive'.
определениеdetermination StringString Указывает определение указанных оповещений.Specifies the determination of the specified alerts. Значения свойств: "NotAvailable", "Apt", "Malware", "SecurityPersonnel", "SecurityTesting", "UnwantedSoftware", "Other"The property values are: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'
commentcomment StringString Комментарий, который необходимо добавить в указанные оповещения.Comment to be added to the specified alerts.

ОткликResponse

В случае успешной работы этот метод возвращает 200 ОК с пустым телом отклика.If successful, this method returns 200 OK, with an empty response body.

ПримерExample

ЗапросRequest

Ниже приведен пример запроса.Here is an example of the request.

POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
    "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}