Uppdateringsavisering
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.
Tips
För bättre prestanda kan du använda servern närmare din geografiska plats:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
API-beskrivning
Uppdaterar egenskaper för befintlig avisering.
Kommentarsinskick är tillgängligt med eller utan uppdatering av egenskaper.
Egenskaper som kan uppdateras är: status determination , , och classification assignedTo .
Begränsningar
- Du kan uppdatera aviseringar som är tillgängliga i API:et. Mer information finns i Listaviseringar.
- Prisbegränsningar för detta API är 100 samtal per minut och 1 500 samtal per timme.
Behörigheter
En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Använda Microsoft Defender för slutpunkts-API:er
| Behörighetstyp | Behörighet | Visningsnamn för behörighet |
|---|---|---|
| Program | Alerts.ReadWrite.All | "Läs och skriv alla aviseringar" |
| Delegerat (arbets- eller skolkonto) | Alert.ReadWrite | "Aviseringar om läsning och skrivning" |
Anteckning
När du skaffar en token med hjälp av användarautentiseringsuppgifter:
- Användaren måste ha minst följande rollbehörighet: "Undersökning av aviseringar" (Mer information finns i Skapa och hantera roller )
- Användaren måste ha åtkomst till den enhet som är kopplad till aviseringen, baserat på enhetsgruppinställningar (Mer information finns i Skapa och hantera enhetsgrupper
HTTP-begäran
PATCH /api/alerts/{id}
Frågerubriker
| Namn | Typ | Beskrivning |
|---|---|---|
| Auktorisering | Sträng | Bearer {token}. Obligatoriskt. |
| Content-Type | Sträng | application/json. Obligatoriskt. |
Frågebrödtext
Ange värden för de relevanta fält som ska uppdateras i begärans brödtext.
Befintliga egenskaper som inte finns i begärans brödtext behåller sina tidigare värden eller beräknas om baserat på ändringar av andra egenskapsvärden.
För bästa prestanda bör du inte inkludera befintliga värden som inte har ändrats.
| Egenskap | Typ | Beskrivning |
|---|---|---|
| Status | Sträng | Anger aktuell status för aviseringen. Egenskapsvärdena är: "Ny", "InProgress" och "Löst". |
| assignedTo | Sträng | Ägaren av aviseringen |
| Klassificering | Sträng | Anger specifikationen för aviseringen. Egenskapsvärdena är: "Okänt", "FalsktPositiv", "TruePositive". |
| Determination | Sträng | Anger om aviseringen är bestämd. Egenskapsvärdena är: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other' |
| Kommentar | Sträng | Kommentar som ska läggas till i aviseringen. |
Svar
Om det lyckas returnerar den här metoden 200 OK och aviseringsentitet i svarstexten med de uppdaterade egenskaperna. Om avisering med det angivna ID:t inte hittas – 404 Hittades inte.
Exempel
Begäran
Här är ett exempel på begäran.
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}