Обновление оповещения
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Примечание.
Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.
Совет
Для повышения производительности можно использовать сервер ближе к географическому расположению:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Описание API
Обновления свойства существующего оповещения.
Отправка комментария доступна с обновлением свойств или без нее.
Обновляемые свойства: status, determination, classificationи assignedTo.
Ограничения
- Вы можете обновить оповещения, доступные в API. Дополнительные сведения см. в разделе Список оповещений.
- Ограничения скорости для этого API : 100 вызовов в минуту и 1500 вызовов в час.
Разрешения
Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечной точки.
| Тип разрешения | Разрешение | Отображаемое имя разрешения |
|---|---|---|
| Приложение | Alerts.ReadWrite.All | "Чтение и запись всех оповещений" |
| Делегированные (рабочая или учебная учетная запись) | Alert.ReadWrite | "Чтение и запись оповещений" |
Примечание.
При получении маркера с использованием учетных данных пользователя:
- Пользователь должен иметь по крайней мере следующее разрешение роли: "Исследование оповещений" (дополнительные сведения см. в разделе Создание ролей и управление ими).
- Пользователь должен иметь доступ к устройству, связанному с оповещением, на основе параметров группы устройств (дополнительные сведения см. в разделе Создание групп устройств и управление ими.
Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.
HTTP-запрос
PATCH /api/alerts/{id}
Заголовки запросов
| Имя | Тип | Описание |
|---|---|---|
| Авторизация | String | Bearer {token}. Обязательное поле. |
| Content-Type | String | application/json. Обязательное поле. |
Текст запроса
В тексте запроса укажите значения для соответствующих полей, которые должны быть обновлены.
Существующие свойства, которые не включены в текст запроса, будут поддерживать свои предыдущие значения или пересчитываться на основе изменений других значений свойств.
Для максимальной производительности не следует включать существующие значения, которые не изменились.
| Свойство | Тип | Описание |
|---|---|---|
| Состояние | String | Указывает текущее состояние оповещения. Значения свойств: "New", "InProgress" и "Resolved". |
| assignedTo | String | Владелец оповещения |
| Классификация | String | Указывает спецификацию оповещения. Значения свойств: TruePositive, InformationalExpectedActivityи FalsePositive. |
| Решимость | String | Указывает определение оповещения. Возможные значения определения для каждой классификации: Multistage attack (MultiStagedAttack), Malicious user activity (MalwareUserActivity), Compromised account (CompromisedUser) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом Malware (Вредоносные программы), Phishing (Фишинг), Unwanted software (UnwantedSoftware) и Other (Прочее). Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedActivity) — рассмотрите возможность изменения имени перечисления в общедоступном API соответствующим образом и Other (Другое). Not malicious (NotMalicious) — рассмотрите возможность изменения имени перечисления в общедоступном API соответственно Not enough data to validate (InsufficientData) и Other (Other). |
| Comment | String | Комментарий, добавляемый в оповещение. |
Примечание.
Примерно 29 августа 2022 г. поддерживаемые ранее значения определения оповещений ("Apt" и "SecurityPersonnel") станут устаревшими и больше не будут доступны через API.
Отклик
В случае успешного выполнения этот метод возвращает значение 200 ОК и сущность оповещения в тексте ответа с обновленными свойствами. Если оповещение с указанным идентификатором не найдено — 404 Не найдено.
Пример
Запрос
Ниже приведен пример запроса.
PATCH https://api.securitycenter.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.