更新警報

API 描述

匯報現有 Alert 的屬性。

評論 可提交 ,無論是否更新屬性。

可更新的屬性有:status、、 determinationclassificationassignedTo、 。

限制

  • 你可以更新 API 中可用的警示。 欲了解更多資訊,請參閱 清單提醒
  • 此 API 的速率限制為每分鐘 100 次呼叫及每小時 1,500 次呼叫。

權限

使用使用者憑證取得令牌時:

  • 使用者至少需要以下角色權限:「警示調查」。 欲了解更多資訊,請參閱 「建立與管理角色」。

  • 使用者必須根據裝置群組設定,能夠存取與警示相關的裝置。 欲了解更多資訊,請參閱 建立與管理裝置群組

呼叫此 API 需要以下其中一項權限。 欲了解更多如何選擇權限的資訊,請參閱「使用 適用於端點的 Microsoft Defender APIS」

權限類型 權限 權限顯示名稱
應用程式 警報。閱讀、寫入、全部 「閱讀並寫下所有警報」
委託 (工作或學校帳戶) 警告。閱讀 「讀寫警示」

HTTP 要求

PATCH /api/alerts/{id}

要求標頭

名稱 類型 描述
授權 字串 持有人 {token}。 必要
Content-Type 字串 application/json。 必要

要求內文

在請求主體中,提供應更新的相關欄位值。

未包含在請求主體中的現有屬性將維持先前的值,或根據其他屬性值的變動重新計算。

為了達到最佳效能,你不應該包含那些沒有改變的現有數值。

屬性 類型 描述
狀態 字串 指定警報的當前狀態。 屬性值為:「新建」、「進行中」及「已解決」。
分配給 字串 警報的擁有者
分類 字串 指定警示的規格。 性質值為:TruePositive、、 InformationalExpectedActivityFalsePositive和 。
判定 字串 指定警報的判定方式。

每種分類可能的判定值如下:

  • 真正面Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) ——考慮相應地更改公開 API 中的列舉名稱, (Malware Malware) 、 Phishing (釣魚) 、 Unwanted software (UnwantedSoftware) 以及 (其他) Other
  • 資訊性、預期活動:Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedActivity) ——請考慮相應地更改公開 API 中的列舉名稱,並 Other (其他) 。
  • 誤判:Not malicious (NotMalicious) - 考慮在公開 API 中更改列舉名稱, (Not enough data to validate InsufficientData) ,並 Other (其他) 。
  • 留言 字串 留言請加入警示。

    注意事項

    約在 2022 年 8 月 29 日,先前支援的警報判定值 (「Apt」與「SecurityPersonnel ) 將被棄用,且不再透過 API 提供。

    回應

    若成功,此方法會回傳 200 OK,並返回回應實體中的 更新 屬性。 如果找不到指定 ID 的警報——404 未找到。

    範例

    請求

    以下是請求的範例。

    PATCH https://api.security.microsoft.com/api/alerts/121688558380765161_2136280442
    
    {
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }