Пакетное обновление оповещений

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.

Совет

Для повышения производительности можно использовать сервер ближе к географическому расположению:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

Описание API

Обновляет свойства пакета существующих оповещений.

Отправка комментария доступна с обновлением свойств или без нее.

Обновляемые свойства: status, determinationи classificationassignedTo.

Ограничения

1. Вы можете обновить оповещения, доступные в API. Дополнительные сведения см. в разделе Список оповещений.
2. Ограничения скорости для этого API : 10 вызовов в минуту и 500 вызовов в час.

Разрешения

Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечных точек.

Тип разрешения	Разрешение	Отображаемое имя разрешения
Приложение	Alert.ReadWrite.All	"Чтение и запись всех оповещений"
Делегированные (рабочая или учебная учетная запись)	Alert.ReadWrite	"Чтение и запись оповещений"

Примечание.

При получении маркера с использованием учетных данных пользователя:

• Пользователь должен иметь по крайней мере следующее разрешение роли: "Исследование оповещений". Дополнительные сведения см. в разделе Создание ролей и управление ими.
• Пользователь должен иметь доступ к устройству, связанному с оповещением, на основе параметров группы устройств. Дополнительные сведения см. в статье Создание групп устройств и управление ими.

Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

HTTP-запрос

POST /api/alerts/batchUpdate

Заголовки запросов

Имя	Тип	Описание
Авторизация	String	Bearer {token}. Обязательное поле.
Content-Type	String	application/json. Обязательное поле.

Текст запроса

В тексте запроса укажите идентификаторы обновляемых оповещений и значения соответствующих полей, которые необходимо обновить для этих оповещений.

Существующие свойства, которые не включены в текст запроса, будут поддерживать свои предыдущие значения или пересчитываться на основе изменений других значений свойств.

Для достижения оптимальной производительности не следует включать существующие значения, которые не изменились.

Свойство	Тип	Описание
alertIds	Строка списка<>	Список идентификаторов оповещений, которые необходимо обновить. Required
status	String	Указывает обновленное состояние указанных оповещений. Значения свойств: "New", "InProgress" и "Resolved".
assignedTo	String	Владелец указанных оповещений
classification	String	Указывает спецификацию указанных оповещений. Значения свойств: TruePositive, Informational, expected activityи FalsePositive.
решимость	String	Указывает определение указанных оповещений. Возможные значения определения для каждой классификации: Истинный положительный результат: Multistage attack (MultiStagedAttack), Malicious user activity (MalwareUserActivity), Compromised account (CompromisedUser) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом Malware (Вредоносные программы), Phishing (Фишинг), Unwanted software (UnwantedSoftware) и Other (Прочее). Информационное ожидаемое действие:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом и Other (Другое). Ложноположительный результат:Not malicious (Чистая) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом ( Not enough data to validate InsufficientData) и Other (Other).
комментарий	String	Комментарий, добавляемый в указанные оповещения.

Примечание.

Примерно 29 августа 2022 г. поддерживаемые ранее значения определения оповещений ("Apt" и "SecurityPersonnel") станут устаревшими и больше не будут доступны через API.

Отклик

В случае успешного выполнения этот метод возвращает значение 200 ОК с пустым текстом ответа.

Пример

Запрос

Ниже приведен пример запроса.

POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate

{
    "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
    "status": "Resolved",
    "assignedTo": "secop2@contoso.com",
    "classification": "FalsePositive",
    "determination": "Malware",
    "comment": "Resolve my alert and assign to secop2"
}

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.