Criar API de alerta

Artigo
07/04/2024

Aplica-se a:

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Nota

Se for um cliente do Us Government, utilize os URIs listados no Microsoft Defender para Endpoint para clientes do Us Government.

Sugestão

Para um melhor desempenho, pode utilizar o servidor mais próximo da localização geográfica:

us.api.security.microsoft.com
eu.api.security.microsoft.com
uk.api.security.microsoft.com
au.api.security.microsoft.com
swa.api.security.microsoft.com
ina.api.security.microsoft.com

Descrição da API

Cria um novo Alerta sobre o Evento.

O Evento do Microsoft Defender para Endpoint é necessário para a criação do alerta.
Tem de fornecer três parâmetros do Evento no pedido: Hora do Evento, ID do Computador e ID do Relatório. Veja o exemplo abaixo.
Pode utilizar um evento encontrado na API de Investigação Avançada ou no Portal.
Se existir um alerta aberto no mesmo Dispositivo com o mesmo Título, o novo alerta criado é intercalado com o mesmo.
Uma investigação automática é iniciada automaticamente em alertas criados através da API.

Limitações

As limitações de taxa para esta API são de 15 chamadas por minuto.

Permissões

É necessária uma das seguintes permissões para chamar esta API. Para saber mais, incluindo como escolher permissões, consulte Utilizar as APIs do Microsoft Defender para Endpoint.

Tipo de permissão	Permissão	Nome a apresentar da permissão
Aplicação	Alert.ReadWrite.All	"Ler e escrever todos os alertas"
Delegado (conta escolar ou profissional)	Alert.ReadWrite	"Alertas de leitura e escrita"

Nota

Ao obter um token com credenciais de utilizador:

O utilizador tem de ter, pelo menos, a seguinte permissão de função: Investigação de alertas. Para obter mais informações, veja Criar e gerir funções.
O utilizador tem de ter acesso ao dispositivo associado ao alerta, com base nas definições do grupo de dispositivos. Para obter mais informações, veja Criar e gerir grupos de dispositivos.

A criação do Grupo de Dispositivos é suportada no Plano 1 e Plano 2 do Defender para Endpoint

Pedido HTTP

POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference

Cabeçalhos de pedido

Name	Tipo	Descrição
Autorização	Cadeia	Portador {token}. Obrigatório.
Tipo de Conteúdo	Cadeia	application/json. Obrigatório.

Corpo do pedido

No corpo do pedido, forneça os seguintes valores (todos são necessários):

Propriedade	Tipo	Descrição
eventTime	DateTime(UTC)	O tempo exata do evento como cadeia, conforme obtido a partir da investigação avançada. Por exemplo, `2018-08-03T16:45:21.7115183Z`Obrigatório.
reportId	Cadeia	O reportId do evento, conforme obtido da investigação avançada. Obrigatório.
machineId	Cadeia	ID do dispositivo no qual o evento foi identificado. Obrigatório.
gravidade	Cadeia	Gravidade do alerta. Os valores das propriedades são: "Baixo", "Médio" e "Alto". Obrigatório.
título	Cadeia	Título do alerta. Obrigatório.
descrição	Cadeia	Descrição do alerta. Obrigatório.
recommendedAction	Cadeia	O agente de segurança tem de efetuar esta ação ao analisar o alerta. Obrigatório.
categoria	Cadeia	Categoria do alerta. Os valores das propriedades são: "Geral", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltration", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" Necessário.

Resposta

Se for bem-sucedido, este método devolve 200 OK e um novo objeto de alerta no corpo da resposta. Se o evento com as propriedades especificadas (reportId, eventTime e machineId) não tiver sido encontrado – 404 Não Encontrado.

Exemplos:

Pedido

Eis um exemplo do pedido.

POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference

{
    "machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
    "severity": "Low",
    "title": "example",
    "description": "example alert",
    "recommendedAction": "nothing",
    "eventTime": "2018-08-03T16:45:21.7115183Z",
    "reportId": "20776",
    "category": "Exploit"
}