Uppdatera avisering
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Obs!
Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.
Tips
För bättre prestanda kan du använda servern närmare din geoplats:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
API-beskrivning
Uppdateringar egenskaper för befintlig avisering.
Det går att skicka kommentarer med eller utan att uppdatera egenskaper.
Uppdateringsbara egenskaper är: status, determination, classificationoch assignedTo.
Begränsningar
- Du kan uppdatera aviseringar som är tillgängliga i API:et. Mer information finns i Lista aviseringar.
- Hastighetsbegränsningar för det här API:et är 100 anrop per minut och 1 500 anrop per timme.
Behörigheter
En av följande behörigheter krävs för att anropa det här API:et. Mer information, inklusive hur du väljer behörigheter, finns i Använda Microsoft Defender för Endpoint-API:er
| Behörighetstyp | Behörighet | Visningsnamn för behörighet |
|---|---|---|
| Program | Alerts.ReadWrite.All | "Läsa och skriva alla aviseringar" |
| Delegerat (arbets- eller skolkonto) | Alert.ReadWrite | "Läs- och skrivaviseringar" |
Obs!
När du hämtar en token med användarautentiseringsuppgifter:
- Användaren måste ha minst följande rollbehörighet: "Undersökning av aviseringar" (Mer information finns i Skapa och hantera roller)
- Användaren måste ha åtkomst till den enhet som är associerad med aviseringen baserat på enhetsgruppsinställningar (Mer information finns i Skapa och hantera enhetsgrupper
Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.
HTTP-begäran
PATCH /api/alerts/{id}
Frågerubriker
| Namn | Typ | Beskrivning |
|---|---|---|
| Tillstånd | Sträng | Ägaren {token}. Krävs. |
| Content-Type | Sträng | application/json. Krävs. |
Frågebrödtext
Ange värdena för de relevanta fält som ska uppdateras i begärandetexten.
Befintliga egenskaper som inte ingår i begärandetexten behåller sina tidigare värden eller beräknas om baserat på ändringar i andra egenskapsvärden.
För bästa prestanda bör du inte inkludera befintliga värden som inte har ändrats.
| Egenskap | Typ | Beskrivning |
|---|---|---|
| Status | Sträng | Anger aktuell status för aviseringen. Egenskapsvärdena är: "New", "InProgress" och "Resolved". |
| Tilldelat | Sträng | Ägaren till aviseringen |
| Klassificering | Sträng | Anger specifikationen för aviseringen. Egenskapsvärdena är: TruePositive, InformationalExpectedActivityoch FalsePositive. |
| Bestämning | Sträng | Anger bestämning av aviseringen. Möjliga bestämningsvärden för varje klassificering är: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) och Other (Other). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta och Other (Övrigt). Not malicious (NotMalicious) – överväg att ändra uppräkningsnamnet i det offentliga API:et i enlighet med detta, Not enough data to validate (InsufficientData) och Other (Övrigt). |
| Kommentar | Sträng | Kommentar som ska läggas till i aviseringen. |
Obs!
Runt den 29 augusti 2022 kommer tidigare stödda aviseringsbestämningsvärden ("Apt" och "SecurityPersonnel") att bli inaktuella och inte längre tillgängliga via API:et.
Svar
Om det lyckas returnerar den här metoden 200 OK och aviseringsentiteten i svarstexten med de uppdaterade egenskaperna. Om aviseringen med det angivna ID:t inte hittades – 404 Hittades inte.
Exempel
Begäran
Här är ett exempel på begäran.
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för