Batch-Aktualisierungswarnungen

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie die URIs, die unter Microsoft Defender für Endpunkt für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-Beschreibung

Aktualisiert die Eigenschaften eines Batches vorhandener Warnungen.

Die Übermittlung von Kommentaren ist mit oder ohne Aktualisierung von Eigenschaften verfügbar.

Aktualisierbare Eigenschaften sind: status, determinationund assignedToclassification .

Begrenzungen

  1. Sie können Warnungen aktualisieren, die in der API verfügbar sind. Weitere Informationen finden Sie unter Auflisten von Warnungen.
  2. Die Ratenbeschränkungen für diese API sind 10 Aufrufe pro Minute und 500 Aufrufe pro Stunde.

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Verwenden von Microsoft Defender für Endpunkt-APIs.

Berechtigungstyp Berechtigung Anzeigename der Berechtigung
App Alert.ReadWrite.All "Alle Warnungen lesen und schreiben"
Delegiert (Geschäfts-, Schul- oder Unikonto) Alert.ReadWrite Warnungen zum Lesen und Schreiben

Hinweis

Beim Abrufen eines Tokens mit Benutzeranmeldeinformationen:

Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.

HTTP-Anforderung

POST /api/alerts/batchUpdate

Anforderungsheader

Name Typ Beschreibung
Authorization Zeichenfolge Bearer {token}. Erforderlich.
Content-Type Zeichenfolge application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext die IDs der zu aktualisierenden Warnungen und die Werte der relevanten Felder an, die Sie für diese Warnungen aktualisieren möchten.

Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte bei oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet.

Aus Gründen der Leistung sollten Sie vorhandene Werte, die nicht geändert wurden, nicht angeben.

Eigenschaft Typ Beschreibung
alertIds Listenzeichenfolge<> Eine Liste der IDs der zu aktualisierenden Warnungen. Erforderlich
status Zeichenfolge Gibt den aktualisierten Status der angegebenen Warnungen an. Die Eigenschaftswerte sind: "New", "InProgress" und "Resolved".
assignedTo Zeichenfolge Besitzer der angegebenen Warnungen
classification Zeichenfolge Gibt die Spezifikation der angegebenen Warnungen an. Die Eigenschaftswerte sind: TruePositive, Informational, expected activityund FalsePositive.
Entschlossenheit Zeichenfolge Gibt die Bestimmung der angegebenen Warnungen an.

Mögliche Bestimmungswerte für jede Klassifizierung sind:

  • Richtig positiv: Multistage attack (MultiStagedAttack), Malicious user activity (MaliciousUserActivity), Compromised account (CompromisedUser) – erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend Malware (Malware), Phishing (Phishing), Unwanted software (UnwantedSoftware) und Other (Other) zu ändern.
  • Information, erwartete Aktivität:Security test (SecurityTesting), Line-of-business application (LineOfBusinessApplication), Confirmed activity (ConfirmedUserActivity): Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend und Other (Sonstige) zu ändern.
  • Falsch positiv:Not malicious (Bereinigen) – Erwägen Sie, den Enumerationsnamen in der öffentlichen API entsprechend (InsufficientData) und Other (Sonstige) zu Not enough data to validate ändern.
  • Kommentar Zeichenfolge Kommentar, der den angegebenen Warnungen hinzugefügt werden soll.

    Hinweis

    Ab dem 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte ("Apt" und "SecurityPersonnel") veraltet und nicht mehr über die API verfügbar.

    Antwort

    Bei erfolgreicher Ausführung gibt die Methode 200 OK mit einem leeren Antworttext zurück.

    Beispiel

    Anforderung

    Hier sehen Sie ein Beispiel für die Anforderung.

    POST https://api.securitycenter.microsoft.com/api/alerts/batchUpdate
    
    {
        "alertIds": ["da637399794050273582_760707377", "da637399989469816469_51697947354"],
        "status": "Resolved",
        "assignedTo": "secop2@contoso.com",
        "classification": "FalsePositive",
        "determination": "Malware",
        "comment": "Resolve my alert and assign to secop2"
    }
    

    Tipp

    Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.