Riasztási API létrehozása
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Megjegyzés:
Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.
Tipp
A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-leírás
Új riasztást hoz létre az esemény tetején.
- Végponthoz készült Microsoft Defender esemény szükséges a riasztás létrehozásához.
- Három paramétert kell megadnia az eseményből a kérelemben: Eseményidő, Gépazonosító és Jelentésazonosító. Lásd az alábbi példát.
- Az Advanced Hunting API-ban vagy a Portálon található eseményt is használhatja.
- Ha ugyanazon az eszközön ugyanazzal a címmel rendelkezik egy nyitott riasztás, az új létrehozott riasztást egyesíteni kell vele.
- Az API-n keresztül létrehozott riasztások automatikusan elindulnak.
Korlátozások
- Az API sebességkorlátozásai percenként 15 hívást jelentenek.
Engedélyek
Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata.
| Engedély típusa | Engedély | Engedély megjelenítendő neve |
|---|---|---|
| Alkalmazás | Alert.ReadWrite.All | "Az összes riasztás olvasása és írása" |
| Delegált (munkahelyi vagy iskolai fiók) | Alert.ReadWrite | "Olvasási és írási riasztások" |
Megjegyzés:
Jogkivonat felhasználói hitelesítő adatokkal történő beszerzésekor:
- A felhasználónak legalább a következő szerepköri engedéllyel kell rendelkeznie: Riasztások vizsgálata. További információ: Szerepkörök létrehozása és kezelése.
- A felhasználónak hozzáféréssel kell rendelkeznie a riasztáshoz társított eszközhöz az eszközcsoport beállításai alapján. További információ: Eszközcsoportok létrehozása és kezelése.
Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában is támogatott
HTTP-kérés
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
Kérelemfejlécek
| Name (Név) | Típus | Leírás |
|---|---|---|
| Felhatalmazás | Karakterlánc | Tulajdonos : {token}. Kötelező megadni. |
| Tartalomtípus | Karakterlánc | application/json. Kötelező megadni. |
Kérelem törzse
A kérelem törzsében adja meg a következő értékeket (mindegyikre szükség van):
| Tulajdonság | Típus | Leírás |
|---|---|---|
| eventTime | DateTime(UTC) | Az esemény pontos időpontja sztringként, a speciális veszélyforrás-keresésből nyert módon. Például: 2018-08-03T16:45:21.7115183ZKötelező. |
| reportId | Karakterlánc | Az esemény reportId azonosítója, amely a speciális veszélyforrás-keresésből származik. Kötelező megadni. |
| machineId | Karakterlánc | Annak az eszköznek az azonosítója, amelyen az eseményt azonosították. Kötelező megadni. |
| súlyosság | Karakterlánc | A riasztás súlyossága. A tulajdonságértékek a következők: "Low", "Medium" és "High". Kötelező megadni. |
| cím | Karakterlánc | A riasztás címe. Kötelező megadni. |
| leírás | Karakterlánc | A riasztás leírása. Kötelező megadni. |
| recommendedAction | Karakterlánc | A biztonsági tisztviselőnek meg kell tennie ezt a műveletet a riasztás elemzésekor. Kötelező megadni. |
| kategória | Karakterlánc | A riasztás kategóriája. A tulajdonságértékek a következők: "General", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltration", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" Required. |
Válasz
Ha sikerült, ez a metódus 200 OK értéket ad vissza, és egy új riasztási objektumot a válasz törzsében. Ha a megadott tulajdonságokkal rendelkező esemény (reportId, eventTime és machineId) nem található – 404 Nem található.
Példa
Kérés
Íme egy példa a kérésre.
POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference
{
"machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
"severity": "Low",
"title": "example",
"description": "example alert",
"recommendedAction": "nothing",
"eventTime": "2018-08-03T16:45:21.7115183Z",
"reportId": "20776",
"category": "Exploit"
}
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.