API 描述
匯報現有 Alert 的屬性。
評論 可提交 ,無論是否更新屬性。
可更新的屬性有:status、、 determinationclassificationassignedTo、 。
限制
- 你可以更新 API 中可用的警示。 欲了解更多資訊,請參閱 清單提醒。
- 此 API 的速率限制為每分鐘 100 次呼叫及每小時 1,500 次呼叫。
權限
使用使用者憑證取得令牌時:
呼叫此 API 需要以下其中一項權限。 欲了解更多如何選擇權限的資訊,請參閱「使用 適用於端點的 Microsoft Defender APIS」
| 權限類型 | 權限 | 權限顯示名稱 |
|---|---|---|
| 應用程式 | 警報。閱讀、寫入、全部 | 「閱讀並寫下所有警報」 |
| 委託 (工作或學校帳戶) | 警告。閱讀 | 「讀寫警示」 |
HTTP 要求
PATCH /api/alerts/{id}
要求標頭
| 名稱 | 類型 | 描述 |
|---|---|---|
| 授權 | 字串 | 持有人 {token}。 必要。 |
| Content-Type | 字串 | application/json。 必要。 |
要求內文
在請求主體中,提供應更新的相關欄位值。
未包含在請求主體中的現有屬性將維持先前的值,或根據其他屬性值的變動重新計算。
為了達到最佳效能,你不應該包含那些沒有改變的現有數值。
| 屬性 | 類型 | 描述 |
|---|---|---|
| 狀態 | 字串 | 指定警報的當前狀態。 屬性值為:「新建」、「進行中」及「已解決」。 |
| 分配給 | 字串 | 警報的擁有者 |
| 分類 | 字串 | 指定警示的規格。 性質值為:TruePositive、、 InformationalExpectedActivityFalsePositive和 。 |
| 判定 | 字串 | 指定警報的判定方式。 每種分類可能的判定值如下: Multistage attack (MultiStagedAttack) 、 Malicious user activity (MaliciousUserActivity) 、 Compromised account (CompromisedUser) ——考慮相應地更改公開 API 中的列舉名稱, (Malware Malware) 、 Phishing (釣魚) 、 Unwanted software (UnwantedSoftware) 以及 (其他) Other 。 Security test (SecurityTesting) 、 Line-of-business application (LineOfBusinessApplication) 、 Confirmed activity (ConfirmedActivity) ——請考慮相應地更改公開 API 中的列舉名稱,並 Other (其他) 。 Not malicious (NotMalicious) - 考慮在公開 API 中更改列舉名稱, (Not enough data to validate InsufficientData) ,並 Other (其他) 。 |
| 留言 | 字串 | 留言請加入警示。 |
注意事項
約在 2022 年 8 月 29 日,先前支援的警報判定值 (「Apt」與「SecurityPersonnel ) 將被棄用,且不再透過 API 提供。
回應
若成功,此方法會回傳 200 OK,並返回回應實體中的 更新 屬性。 如果找不到指定 ID 的警報——404 未找到。
範例
請求
以下是請求的範例。
PATCH https://api.security.microsoft.com/api/alerts/121688558380765161_2136280442
{
"status": "Resolved",
"assignedTo": "secop2@contoso.com",
"classification": "FalsePositive",
"determination": "Malware",
"comment": "Resolve my alert and assign to secop2"
}