Waarschuwings-API maken
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Opmerking
Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.
Tip
Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-beschrijving
Hiermee maakt u een nieuwe waarschuwing boven op de gebeurtenis.
- Microsoft Defender voor Eindpunt gebeurtenis is vereist voor het maken van de waarschuwing.
- U moet drie parameters van de gebeurtenis opgeven in de aanvraag: Gebeurtenistijd, Machine-id en Rapport-id. Zie het onderstaande voorbeeld.
- U kunt een gebeurtenis gebruiken die te vinden is in advanced hunting API of portal.
- Als er een geopende waarschuwing op hetzelfde apparaat met dezelfde titel bestaat, wordt de nieuw gemaakte waarschuwing ermee samengevoegd.
- Er wordt automatisch een onderzoek gestart naar waarschuwingen die zijn gemaakt via de API.
Beperkingen
- Frequentiebeperkingen voor deze API zijn 15 aanroepen per minuut.
Machtigingen
Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Use Microsoft Defender voor Eindpunt API's (Api's voor Microsoft Defender voor Eindpunt gebruiken) voor meer informatie, waaronder het kiezen van machtigingen.
| Machtigingstype | Machtiging | Weergavenaam van machtiging |
|---|---|---|
| Toepassing | Alert.ReadWrite.All | Alle waarschuwingen lezen en schrijven |
| Gedelegeerd (werk- of schoolaccount) | Alert.ReadWrite | 'Waarschuwingen lezen en schrijven' |
Opmerking
Bij het verkrijgen van een token met behulp van gebruikersreferenties:
- De gebruiker moet ten minste de volgende rolmachtiging hebben: Waarschuwingsonderzoek. Zie Rollen maken en beheren voor meer informatie.
- De gebruiker moet toegang hebben tot het apparaat dat is gekoppeld aan de waarschuwing, op basis van de instellingen van de apparaatgroep. Zie Apparaatgroepen maken en beheren voor meer informatie.
Het maken van een apparaatgroep wordt ondersteund in zowel Defender for Endpoint Plan 1 als Plan 2
HTTP-aanvraag
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
Aanvraagheaders
| Naam | Type | Beschrijving |
|---|---|---|
| Machtiging | Tekenreeks | Bearer {token}. Vereist. |
| Content-Type | Tekenreeks | application/json. Vereist. |
Aanvraagtekst
Geef in de aanvraagtekst de volgende waarden op (alle zijn vereist):
| Eigenschap | Type | Beschrijving |
|---|---|---|
| eventTime | DateTime(UTC) | De exacte tijd van de gebeurtenis als tekenreeks, zoals verkregen uit geavanceerde opsporing. Bijvoorbeeld 2018-08-03T16:45:21.7115183ZVereist. |
| reportId | Tekenreeks | De reportId van de gebeurtenis, zoals verkregen uit geavanceerde opsporing. Vereist. |
| machineId | Tekenreeks | Id van het apparaat waarop de gebeurtenis is geïdentificeerd. Vereist. |
| strengheid | Tekenreeks | Ernst van de waarschuwing. De eigenschapswaarden zijn: 'Laag', 'Gemiddeld' en 'Hoog'. Vereist. |
| titel | Tekenreeks | Titel voor de waarschuwing. Vereist. |
| beschrijving | Tekenreeks | Beschrijving van de waarschuwing. Vereist. |
| recommendedAction | Tekenreeks | De beveiligingsmedewerker moet deze actie uitvoeren bij het analyseren van de waarschuwing. Vereist. |
| categorie | Tekenreeks | Categorie van de waarschuwing. De eigenschapswaarden zijn: 'Algemeen', 'CommandAndControl', 'Collection', 'CredentialAccess', 'DefenseEvasion', 'Discovery', 'Exfiltratie', 'Exploit', 'Execution', 'InitialAccess', 'LateralMovement', 'Malware', 'Persistence', 'PrivilegeEscalation', 'Ransomware', 'SuspiciousActivity' Vereist. |
Antwoord
Als dit lukt, retourneert deze methode 200 OK en een nieuw waarschuwingsobject in de antwoordtekst. Als de gebeurtenis met de opgegeven eigenschappen (reportId, eventTime en machineId) niet is gevonden, is 404 Niet gevonden.
Voorbeeld
Verzoek
Hier volgt een voorbeeld van de aanvraag.
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.