Получить API сведений о пользователях, связанных с оповещениемGet alert related user information API

Область применения:Applies to:

Хотите испытать Microsoft Defender для конечной точки?Want to experience Microsoft Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Примечание

Если вы клиент правительства США, используйте URL-адреса, указанные в Microsoft Defender для конечных точек для государственных клиентов США.If you are a US Government customer, please use the URIs listed in Microsoft Defender for Endpoint for US Government customers.

Совет

Для улучшения производительности можно использовать сервер ближе к географическому расположению:For better performance, you can use server closer to your geo location:

  • api-us.securitycenter.microsoft.comapi-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.comapi-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.comapi-uk.securitycenter.microsoft.com

Описание APIAPI description

Извлекает пользователя, связанного с определенным оповещением.Retrieves the User related to a specific alert.

ОграниченияLimitations

  1. Вы можете запрашивать последние обновления оповещений в соответствии с настроенным периодом хранения.You can query on alerts last updated according to your configured retention period.
  2. Ограничения скорости для этого API : 100 вызовов в минуту и 1500 вызовов в час.Rate limitations for this API are 100 calls per minute and 1500 calls per hour.

РазрешенияPermissions

Для вызова этого API требуется одно из следующих разрешений.One of the following permissions is required to call this API. Дополнительные дополнительные информации, в том числе о выборе разрешений, см. в этой ссылке: Использование API endpoint Defender для Microsoft DefenderTo learn more, including how to choose permissions, see Use Microsoft Defender for Endpoint APIs

Тип разрешенияPermission type РазрешениеPermission Имя отображения разрешенийPermission display name
Для приложенийApplication User.Read.AllUser.Read.All 'Read user profiles''Read user profiles'
Делегированные (рабочая или учебная учетная запись)Delegated (work or school account) User.Read.AllUser.Read.All 'Read user profiles''Read user profiles'

Примечание

При получении маркера с помощью учетных данных пользователей:When obtaining a token using user credentials:

  • Пользователю необходимо иметь по крайней мере следующее разрешение на роль: "Просмотр данных" (см. создание и управление ролями для получения дополнительных сведений)The user needs to have at least the following role permission: 'View Data' (See Create and manage roles for more information)
  • Пользователь должен иметь доступ к устройству, связанному с оповещением, на основе параметров группы устройств (см. дополнительные сведения о создании и управлении группами устройств).The user needs to have access to the device associated with the alert, based on device group settings (See Create and manage device groups for more information)

HTTP-запросHTTP request

GET /api/alerts/{id}/user

Заголовки запросовRequest headers

ИмяName ТипType ОписаниеDescription
АвторизацияAuthorization StringString Bearer {token}.Bearer {token}. Обязательное поле.Required.

Тело запросаRequest body

переменная EmptyEmpty

ОткликResponse

При успешном и оповещении пользователя — 200 ОК с пользователем в теле.If successful and alert and a user exists - 200 OK with user in the body. Если оповещение или пользователь не найден - 404 Не найден.If alert or user not found - 404 Not Found.

ПримерExample

ЗапросRequest

Ниже приведен пример запроса.Here is an example of the request.

GET https://api.securitycenter.microsoft.com/api/alerts/636688558380765161_2136280442/user

ОткликResponse

Ниже приведен пример отклика.Here is an example of the response.

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Users/$entity",
    "id": "contoso\\user1",
    "accountName": "user1",
    "accountDomain": "contoso",
    "accountSid": "S-1-5-21-72051607-1745760036-109187956-93922",
    "firstSeen": "2019-12-08T06:33:39Z",
    "lastSeen": "2020-01-05T06:58:34Z",
    "mostPrevalentMachineId": "0111b647235c26159bec3e5eb6c8c3a0cc3ab766",
    "leastPrevalentMachineId": "0111b647235c26159bec3e5eb6c8c3a0cc3ab766",
    "logonTypes": "Network",
    "logOnMachinesCount": 1,
    "isDomainAdmin": false,
    "isOnlyNetworkUser": false
}