Uppdateringsavisering

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Anteckning

Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.

Tips

För bättre prestanda kan du använda servern närmare din geografiska plats:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

API-beskrivning

Uppdaterar egenskaper för befintlig avisering.

Kommentarsinskick är tillgängligt med eller utan uppdatering av egenskaper.

Egenskaper som kan uppdateras är: status determination , , och classification assignedTo .

Begränsningar

  1. Du kan uppdatera aviseringar som är tillgängliga i API:et. Mer information finns i Listaviseringar.
  2. Prisbegränsningar för detta API är 100 samtal per minut och 1 500 samtal per timme.

Behörigheter

En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Använda Microsoft Defender för slutpunkts-API:er

Behörighetstyp Behörighet Visningsnamn för behörighet
Program Alerts.ReadWrite.All "Läs och skriv alla aviseringar"
Delegerat (arbets- eller skolkonto) Alert.ReadWrite "Aviseringar om läsning och skrivning"

Anteckning

När du skaffar en token med hjälp av användarautentiseringsuppgifter:

  • Användaren måste ha minst följande rollbehörighet: "Undersökning av aviseringar" (Mer information finns i Skapa och hantera roller )
  • Användaren måste ha åtkomst till den enhet som är kopplad till aviseringen, baserat på enhetsgruppinställningar (Mer information finns i Skapa och hantera enhetsgrupper)

HTTP-begäran

PATCH /api/alerts/{id}

Frågerubriker

Namn Typ Beskrivning
Auktorisering Sträng Bearer {token}. Obligatoriskt.
Content-Type Sträng application/json. Obligatoriskt.

Frågebrödtext

Ange värden för de relevanta fält som ska uppdateras i begärans brödtext.

Befintliga egenskaper som inte finns i begärans brödtext behåller sina tidigare värden eller beräknas om baserat på ändringar av andra egenskapsvärden.

För bästa prestanda bör du inte inkludera befintliga värden som inte har ändrats.

Egenskap Typ Beskrivning
Status Sträng Anger aktuell status för aviseringen. Egenskapsvärdena är: "Ny", "InProgress" och "Löst".
assignedTo Sträng Ägaren av aviseringen
Klassificering Sträng Anger specifikationen för aviseringen. Egenskapsvärdena är: "Okänt", "FalsktPositiv", "TruePositive".
Determination Sträng Anger om aviseringen är bestämd. Egenskapsvärdena är: 'NotAvailable', 'Apt', 'Malware', 'SecurityPersonnel', 'SecurityTesting', 'UnwantedSoftware', 'Other'
Kommentar Sträng Kommentar som ska läggas till i aviseringen.

Svar

Om det lyckas returnerar den här metoden 200 OK och aviseringsentitet i svarstexten med de uppdaterade egenskaperna. Om avisering med det angivna ID:t inte hittas – 404 Hittades inte.

Exempel

Begäran

Här är ett exempel på begäran.

PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}