Skapa aviserings-API

Artikel
07/04/2024

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Obs!

Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.

Tips

För bättre prestanda kan du använda servern närmare din geoplats:

us.api.security.microsoft.com
eu.api.security.microsoft.com
uk.api.security.microsoft.com
au.api.security.microsoft.com
swa.api.security.microsoft.com
ina.api.security.microsoft.com

API-beskrivning

Skapar ny avisering ovanpå händelsen.

Microsoft Defender för Endpoint-händelse krävs för att skapa aviseringar.
Du måste ange tre parametrar från händelsen i begäran: händelsetid, dator-ID och rapport-ID. Se exemplet nedan.
Du kan använda en händelse som finns i Advanced Hunting-API:et eller portalen.
Om det finns en öppen avisering på samma enhet med samma rubrik sammanfogas den nya skapade aviseringen med den.
En automatisk undersökning startar automatiskt på aviseringar som skapats via API:et.

Begränsningar

Hastighetsbegränsningar för det här API:et är 15 anrop per minut.

Behörigheter

En av följande behörigheter krävs för att anropa det här API:et. Mer information, inklusive hur du väljer behörigheter, finns i Använda Api:er för Microsoft Defender för Endpoint.

Behörighetstyp	Behörighet	Visningsnamn för behörighet
Program	Alert.ReadWrite.All	"Läsa och skriva alla aviseringar"
Delegerat (arbets- eller skolkonto)	Alert.ReadWrite	"Läs- och skrivaviseringar"

Obs!

När du hämtar en token med användarautentiseringsuppgifter:

Användaren måste ha minst följande rollbehörighet: Undersökning av aviseringar. Mer information finns i Skapa och hantera roller.
Användaren måste ha åtkomst till den enhet som är associerad med aviseringen, baserat på enhetsgruppsinställningarna. Mer information finns i Skapa och hantera enhetsgrupper.

Skapande av enhetsgrupp stöds i både Defender för Endpoint Plan 1 och Plan 2

HTTP-begäran

POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference

Frågerubriker

Namn	Typ	Beskrivning
Tillstånd	Sträng	Ägaren {token}. Krävs.
Content-Type	Sträng	application/json. Krävs.

Frågebrödtext

Ange följande värden i begärandetexten (alla är obligatoriska):

Egenskap	Typ	Beskrivning
eventTime	DateTime(UTC)	Den exakta tiden för händelsen som sträng, som erhålls från avancerad jakt. Till exempel Obligatoriskt`2018-08-03T16:45:21.7115183Z`.
reportId	Sträng	ReportId för händelsen, som hämtats från avancerad jakt. Krävs.
machineId	Sträng	ID för enheten där händelsen identifierades. Krävs.
stränghet	Sträng	Allvarlighetsgrad för aviseringen. Egenskapsvärdena är: "Low", "Medium" och "High". Krävs.
titel	Sträng	Rubrik för aviseringen. Krävs.
beskrivning	Sträng	Beskrivning av aviseringen. Krävs.
recommendedAction	Sträng	Säkerhetsansvarig måste vidta den här åtgärden när aviseringen analyseras. Krävs.
kategori	Sträng	Aviseringens kategori. Egenskapsvärdena är: "General", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltration", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" Required.

Svar

Om det lyckas returnerar den här metoden 200 OK och ett nytt aviseringsobjekt i svarstexten. Om händelsen med de angivna egenskaperna (reportId, eventTime och machineId) inte hittades – 404 Hittades inte.

Exempel

Begäran

Här är ett exempel på begäran.

POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference

{
    "machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
    "severity": "Low",
    "title": "example",
    "description": "example alert",
    "recommendedAction": "nothing",
    "eventTime": "2018-08-03T16:45:21.7115183Z",
    "reportId": "20776",
    "category": "Exploit"
}