更新警报
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
注意
如果你是美国政府客户,请使用美国政府客户Microsoft Defender for Endpoint中列出的 URI。
提示
为了提高性能,可以使用离地理位置更近的服务器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
API 说明
汇报现有警报的属性。
无论是否更新属性,都可以提交 注释 。
可更新的属性包括: status、 determination、 classification和 assignedTo。
限制
- 可以更新 API 中可用的警报。 有关详细信息,请参阅 列出警报。
- 此 API 的速率限制是每分钟 100 个调用和每小时 1500 个调用。
权限
要调用此 API,需要以下权限之一。 若要了解详细信息(包括如何选择权限),请参阅使用Microsoft Defender for Endpoint API
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Alerts.ReadWrite.All | “读取和写入所有警报” |
| 委派(工作或学校帐户) | Alert.ReadWrite | “读取和写入警报” |
注意
使用用户凭据获取令牌时:
- 用户至少需要具有以下角色权限:“警报调查” (有关详细信息,请参阅Create和管理角色)
- 用户需要根据设备组设置 (有权访问与警报关联的设备。有关详细信息,请参阅Create和管理设备组
Defender for Endpoint 计划 1 和计划 2 支持创建设备组。
HTTP 请求
PATCH /api/alerts/{id}
请求标头
| 名称 | 类型 | 说明 |
|---|---|---|
| Authorization | String | 持有者 {token}。 必需。 |
| Content-Type | String | application/json. 必需。 |
请求正文
在请求正文中,提供应更新的相关字段的值。
请求正文中未包含的现有属性将保留其以前的值,或者根据对其他属性值的更改重新计算。
为了获得最佳性能,不应包含未更改的现有值。
| 属性 | 类型 | 说明 |
|---|---|---|
| 状态 | String | 指定警报的当前状态。 属性值为:“New”、“InProgress”和“Resolved”。 |
| assignedTo | String | 警报的所有者 |
| 分类 | String | 指定警报的规范。 属性值为: TruePositive、 InformationalExpectedActivity和 FalsePositive。 |
| 测定 | String | 指定警报的确定。 每个分类的可能确定值为: Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) – 考虑相应地更改公共 api 中的枚举名称、 Malware (恶意软件) 、 Phishing (钓鱼) 、 Unwanted software (不需要的Software) 和其他 Other () 。 Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedActivity) - 考虑相应地更改公共 api 中的枚举名称,并 Other (其他) 。 Not malicious (NotMalicious) - 考虑相应地更改公共 API 中的枚举名称, Not enough data to validate (InsufficientData) , (Other 其他) 。 |
| 评论 | 字符串 | 要添加到警报的注释。 |
注意
在 2022 年 8 月 29 日左右,以前支持的警报确定值 (“Apt”和“SecurityPersonnel”) 将弃用,不再通过 API 提供。
响应
如果成功,此方法返回 200 OK,响应正文中具有更新属性的 警报 实体。 如果未找到具有指定 ID 的警报 - 404 未找到。
示例
请求
下面是请求的示例。
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈