Uppdateringsaviseringar för batch
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.
Tips
För bättre prestanda kan du använda servern närmare din geografiska plats:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
API-beskrivning
Uppdaterar egenskaper för en batch med befintliga aviseringar.
Kommentarsinskick är tillgängligt med eller utan uppdatering av egenskaper.
Egenskaper som kan uppdateras är: status determination , och classification assignedTo .
Begränsningar
- Du kan uppdatera aviseringar som är tillgängliga i API:et. Mer information finns i Listaviseringar.
- Begränsningar i kursen för detta API är 10 samtal per minut och 500 samtal per timme.
Behörigheter
En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Använda Microsoft Defender för slutpunkts-API:er
| Behörighetstyp | Behörighet | Visningsnamn för behörighet |
|---|---|---|
| Program | Alert.ReadWrite.All | "Läs och skriv alla aviseringar" |
| Delegerat (arbets- eller skolkonto) | Alert.ReadWrite | "Aviseringar om läsning och skrivning" |
Anteckning
När du skaffar en token med hjälp av användarautentiseringsuppgifter:
- Användaren måste ha minst följande rollbehörighet: "Undersökning av aviseringar" (mer information finns i Skapa och hantera roller)
- Användaren måste ha åtkomst till enheten som är kopplad till aviseringen, baserat på enhetsgruppinställningar (mer information finns i Skapa och hantera enhetsgrupper)
HTTP-begäran
POST /api/alerts/batchUpdate
Frågerubriker
| Namn | Typ | Beskrivning |
|---|---|---|
| Auktorisering | Sträng | Bearer {token}. Obligatoriskt. |
| Content-Type | Sträng | application/json. Obligatoriskt. |
Frågebrödtext
Ange i meddelandetexten för begäran de aviseringar som ska uppdateras och värdena för de relevanta fält som du vill uppdatera för dessa aviseringar.
Befintliga egenskaper som inte ingår i begärans brödtext behåller sina tidigare värden eller beräknas om baserat på ändringar av andra egenskapsvärden.
För bästa prestanda bör du inte inkludera befintliga värden som inte har ändrats.
| Egenskap | Typ | Beskrivning |
|---|---|---|
| alertids | <Liststräng> | En lista med DE IDENTIFIERINGS-identifieringar av aviseringar som ska uppdateras. Obligatoriskt |
| status | Sträng | Anger uppdaterad status för angivna aviseringar. Egenskapsvärdena är: "Ny", "InProgress" och "Löst". |
| assignedTo | Sträng | Ägare av angivna aviseringar |
| klassificering | Sträng | Anger specifikationen för de angivna aviseringarna. Egenskapsvärdena är: "Okänt", "FalsktPositiv", "TruePositive". |
| determination | Sträng | Anger vilka aviseringar som ska avgöras. Egenskapsvärdena är: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other' |
| kommentar | Sträng | Kommentar som ska läggas till i de angivna aviseringarna. |
Svar
Om det lyckas returnerar den här metoden 200 OK, med en tom svarstext.
Exempel
Begäran
Här är ett exempel på begäran.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}