Varsler om satsvis oppdatering
Gjelder for:
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Obs!
Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for Endpoint for US Government-kunder.
Tips
Hvis du vil ha bedre ytelse, kan du bruke serveren nærmere geografisk plassering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-beskrivelse
Oppdaterer egenskapene for en gruppe med eksisterende varsler.
Innsending av kommentar er tilgjengelig med eller uten oppdatering av egenskaper.
Egenskaper som kan oppdateres, er: status, determinationclassification og assignedTo.
Begrensninger
- Du kan oppdatere varsler som er tilgjengelige i API-en. Hvis du vil ha mer informasjon, kan du se Listevarsler.
- Satsbegrensninger for denne API-en er 10 oppkall per minutt og 500 oppkall per time.
Tillatelser
Én av følgende tillatelser er nødvendig for å kalle opp denne API-en. Hvis du vil ha mer informasjon, inkludert hvordan du velger tillatelser, kan du se Bruke Microsoft Defender for endepunkt-API-er
| Tillatelsestype | Tillatelse | Visningsnavn for tillatelse |
|---|---|---|
| Program | Alert.ReadWrite.All | «Les og skriv alle varsler» |
| Delegert (jobb- eller skolekonto) | Alert.ReadWrite | «Lese- og skrivevarsler» |
Obs!
Når du skaffer et token ved hjelp av brukerlegitimasjon:
- Brukeren må minst ha følgende rolletillatelse: «Varsler undersøkelse». Hvis du vil ha mer informasjon, kan du se Opprette og administrere roller.
- Brukeren må ha tilgang til enheten som er knyttet til varselet, basert på innstillingene for enhetsgruppen. Hvis du vil ha mer informasjon, kan du se Opprette og administrere enhetsgrupper.
Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.
HTTP-forespørsel
POST /api/alerts/batchUpdate
Forespørselshoder
| Navn | Type: | Beskrivelse |
|---|---|---|
| Autorisasjon | Streng | Bærer {token}. Obligatorisk. |
| Innholdstype | Streng | program/json. Obligatorisk. |
Forespørselstekst
Angi ID-ene for varslene som skal oppdateres, i forespørselsteksten, og verdiene for de relevante feltene du vil oppdatere for disse varslene.
Eksisterende egenskaper som ikke er inkludert i forespørselsteksten, opprettholder de tidligere verdiene eller beregnes på nytt basert på endringer i andre egenskapsverdier.
For best ytelse bør du ikke inkludere eksisterende verdier som ikke er endret.
| Eiendom | Type: | Beskrivelse |
|---|---|---|
| alertIds | Listestreng<> | En liste over ID-ene for varslene som skal oppdateres. Obligatorisk |
| status | Streng | Angir den oppdaterte statusen for de angitte varslene. Egenskapsverdiene er: Ny, InProgress og Løst. |
| assignedTo | Streng | Eier av de angitte varslene |
| klassifisering | Streng | Angir spesifikasjonen for de angitte varslene. Egenskapsverdiene er: TruePositive, Informational, expected activityog FalsePositive. |
| bestemmelse | Streng | Angir fastsettelse av de angitte varslene. Mulige fastsettelsesverdier for hver klassifisering er: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) og Other (Annet). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) – vurder å endre opplistingsnavnet i offentlig api tilsvarende, og Other (Annet). Not malicious (Ren) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Not enough data to validate (InsufficientData) og Other (Annet). |
| kommentar | Streng | Kommentar som skal legges til i de angitte varslene. |
Obs!
Rundt 29. august 2022 vil tidligere støttede varslingsbestemmelsesverdier («Apt» og «SecurityPersonnel») bli avskrevet og ikke lenger tilgjengelig via API-en.
Svar
Hvis vellykket, returnerer denne metoden 200 OK, med en tom svartekst.
Eksempel
Anmodning
Her er et eksempel på forespørselen.
POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
{
"alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.