Opret BESKED-API
Gælder for:
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Bemærk!
Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for US Government-kunder.
Tip
For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-beskrivelse
Opretter ny besked oven på hændelsen.
- Microsoft Defender for Endpoint Event er påkrævet for oprettelsen af beskeden.
- Du skal angive tre parametre fra hændelsen i anmodningen: Hændelsestid, computer-id og rapport-id. Se eksemplet nedenfor.
- Du kan bruge en hændelse, der findes i Advanced Hunting API eller Portal.
- Hvis der findes en åben besked på den samme enhed med samme titel, flettes den nye oprettede besked med den.
- En automatisk undersøgelse starter automatisk på beskeder, der er oprettet via API'en.
Begrænsninger
- Hastighedsbegrænsninger for denne API er 15 kald pr. minut.
Tilladelser
En af følgende tilladelser er påkrævet for at kalde denne API. Hvis du vil vide mere, herunder hvordan du vælger tilladelser, skal du se Brug Microsoft Defender til Slutpunkt-API'er.
| Tilladelsestype | Tilladelse | Vist navn for tilladelse |
|---|---|---|
| Program | Alert.ReadWrite.All | 'Læs og skriv til alle beskeder' |
| Uddelegeret (arbejds- eller skolekonto) | Alert.ReadWrite | 'Læs og skriv beskeder' |
Bemærk!
Når du henter et token ved hjælp af brugerlegitimationsoplysninger:
- Brugeren skal som minimum have følgende rolletilladelse: Undersøgelse af beskeder. Du kan få flere oplysninger under Opret og administrer roller.
- Brugeren skal have adgang til den enhed, der er knyttet til beskeden, baseret på indstillingerne for enhedsgruppe. Du kan få flere oplysninger under Opret og administrer enhedsgrupper.
Oprettelse af enhedsgruppe understøttes i både Defender for Endpoint Plan 1 og Plan 2
HTTP-anmodning
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
Anmodningsheadere
| Navn | Type | Beskrivelse |
|---|---|---|
| Autorisation | String | Ihændehaver {token}. Påkrævet. |
| Indholdstype | String | application/json. Påkrævet. |
Brødtekst i anmodning
I anmodningens brødtekst skal du angive følgende værdier (alle er påkrævet):
| Egenskab | Type | Beskrivelse |
|---|---|---|
| eventTime | DateTime(UTC) | Det præcise tidspunkt for begivenheden som streng, som opnås ved avanceret jagt. F.eks2018-08-03T16:45:21.7115183Z. Påkrævet. |
| reportId | String | ReportId for hændelsen som hentet fra avanceret jagt. Påkrævet. |
| machineId | String | Id'et for den enhed, som hændelsen blev identificeret på. Påkrævet. |
| alvorlighed | String | Alvorsgraden af beskeden. Egenskabsværdierne er: 'Low', 'Medium' og 'High'. Påkrævet. |
| titel | String | Titel på beskeden. Påkrævet. |
| beskrivelse | String | Beskrivelse af beskeden. Påkrævet. |
| recommendedAction | String | Sikkerhedsofficeren skal udføre denne handling, når beskeden analyseres. Påkrævet. |
| kategori | String | Kategorien for beskeden. Egenskabsværdierne er: "General", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltration", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" Required. |
Svar
Hvis det lykkes, returnerer denne metode 200 OK og et nyt beskedobjekt i svarbrødteksten. Hvis hændelsen med de angivne egenskaber (reportId, eventTime og machineId) ikke blev fundet - 404 blev ikke fundet.
Eksempel
Bøn
Her er et eksempel på anmodningen.
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.