Oppdater varsel
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Obs!
Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for Endpoint for US Government-kunder.
Tips
Hvis du vil ha bedre ytelse, kan du bruke serveren nærmere geografisk plassering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-beskrivelse
Oppdaterer egenskapene for eksisterende varsel.
Innsending av kommentar er tilgjengelig med eller uten oppdatering av egenskaper.
Egenskaper som kan oppdateres, er: status, determination, classificationog assignedTo.
Begrensninger
- Du kan oppdatere varsler som er tilgjengelige i API-en. Hvis du vil ha mer informasjon, kan du se Listevarsler.
- Satsbegrensninger for denne API-en er 100 oppkall per minutt og 1500 anrop per time.
Tillatelser
Én av følgende tillatelser er nødvendig for å kalle opp denne API-en. Hvis du vil ha mer informasjon, inkludert hvordan du velger tillatelser, kan du se Bruke Microsoft Defender for endepunkt-API-er
| Tillatelsestype | Tillatelse | Visningsnavn for tillatelse |
|---|---|---|
| Program | Alerts.ReadWrite.All | «Les og skriv alle varsler» |
| Delegert (jobb- eller skolekonto) | Alert.ReadWrite | «Lese- og skrivevarsler» |
Obs!
Når du skaffer et token ved hjelp av brukerlegitimasjon:
- Brukeren må minst ha følgende rolletillatelse: «Varsler-undersøkelse» (Hvis du vil ha mer informasjon, kan du se Opprette og administrere roller)
- Brukeren må ha tilgang til enheten som er knyttet til varselet, basert på innstillinger for enhetsgruppe (hvis du vil ha mer informasjon, kan du se Opprette og administrere enhetsgrupper
Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.
HTTP-forespørsel
PATCH /api/alerts/{id}
Forespørselshoder
| Navn | Type: | Beskrivelse |
|---|---|---|
| Autorisasjon | Streng | Bærer {token}. Obligatorisk. |
| Innholdstype | Streng | program/json. Obligatorisk. |
Forespørselstekst
Angi verdiene for de relevante feltene som skal oppdateres, i forespørselsteksten.
Eksisterende egenskaper som ikke er inkludert i forespørselsteksten, opprettholder de tidligere verdiene eller beregnes på nytt basert på endringer i andre egenskapsverdier.
For best ytelse bør du ikke inkludere eksisterende verdier som ikke har blitt endret.
| Eiendom | Type: | Beskrivelse |
|---|---|---|
| Status | Streng | Angir gjeldende status for varselet. Egenskapsverdiene er: Ny, InProgress og Løst. |
| assignedTo | Streng | Eier av varselet |
| Klassifisering | Streng | Angir spesifikasjonen for varselet. Egenskapsverdiene er: TruePositive, InformationalExpectedActivityog FalsePositive. |
| Bestemmelse | Streng | Angir varselets bestemmelse. Mulige fastsettelsesverdier for hver klassifisering er: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) og Other (Annet). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) – vurder å endre nummereringsnavnet i offentlig api tilsvarende, og Other (Annet). Not malicious (NotMalicious) – vurder å endre opplistingsnavnet i offentlig api tilsvarende Not enough data to validate (InsufficientData) og Other (Annet). |
| Kommentar | Streng | Kommentar som skal legges til i varselet. |
Obs!
Rundt 29. august 2022 vil tidligere støttede varslingsbestemmelsesverdier («Apt» og «SecurityPersonnel») bli avskrevet og ikke lenger tilgjengelig via API-en.
Svar
Hvis dette lykkes, returnerer denne metoden 200 OK, og varselenheten i svarteksten med de oppdaterte egenskapene. Hvis varsel med den angitte ID-en ikke ble funnet – finner du ikke 404.
Eksempel
Anmodning
Her er et eksempel på forespørselen.
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.