Uyarı API'si oluşturma

Makale
07/04/2024

Şunlar için geçerlidir:

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Not

ABD Kamu müşterisiyseniz lütfen US Government müşterileri için Uç Nokta için Microsoft Defender'da listelenen URI'leri kullanın.

İpucu

Daha iyi performans için coğrafi konumunuza daha yakın olan sunucuyu kullanabilirsiniz:

us.api.security.microsoft.com
eu.api.security.microsoft.com
uk.api.security.microsoft.com
au.api.security.microsoft.com
swa.api.security.microsoft.com
ina.api.security.microsoft.com

API açıklaması

Olay'ın üzerinde yeni Uyarı oluşturur.

Uyarı oluşturmak için Uç Nokta için Microsoft Defender Olayı gereklidir.
İstekteki Olaydan üç parametre sağlamanız gerekir: Olay Zamanı, Makine Kimliği ve Rapor Kimliği. Aşağıdaki örniğe bakın.
Gelişmiş Tehdit Avcılığı API'sinde veya Portalda bulunan bir olayı kullanabilirsiniz.
Aynı Cihazda aynı Başlığa sahip açık bir uyarı varsa, oluşturulan yeni uyarı bu uyarıyla birleştirilir.
API aracılığıyla oluşturulan uyarılarda otomatik araştırma otomatik olarak başlar.

Sınırlamalar

Bu API için hız sınırlamaları dakikada 15 çağrıdır.

İzinler

Bu API'yi çağırmak için aşağıdaki izinlerden biri gereklidir. İzinlerin nasıl seçileceği de dahil olmak üzere daha fazla bilgi edinmek için bkz . Uç Nokta API'leri için Microsoft Defender'ı kullanma.

İzin türü	İzin	İzin görünen adı
Uygulama	Alert.ReadWrite.All	'Tüm uyarıları okuma ve yazma'
Temsilci (iş veya okul hesabı)	Alert.ReadWrite	'Uyarıları okuma ve yazma'

Not

Kullanıcı kimlik bilgilerini kullanarak belirteç alırken:

Kullanıcının en az şu rol iznine sahip olması gerekir: Uyarı araştırması. Daha fazla bilgi için bkz. Rolleri oluşturma ve yönetme.
Kullanıcının, cihaz grubu ayarlarına bağlı olarak uyarıyla ilişkilendirilmiş cihaza erişimi olmalıdır. Daha fazla bilgi için bkz. Cihaz gruplarını oluşturma ve yönetme.

Cihaz Grubu oluşturma hem Uç Nokta için Defender Plan 1 hem de Plan 2'de desteklenir

HTTP isteği

POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference

İstek üst bilgileri

Name	Tür	Açıklama
İzin	Dize	Taşıyıcı {token}. Gerekli.
İçerik Türü	Dize	application/json. Gerekli.

İstek gövdesi

İstek gövdesinde aşağıdaki değerleri sağlayın (tümü gereklidir):

Mülk	Tür	Açıklama
eventTime	DateTime(UTC)	Olayın, gelişmiş avcılıktan elde edilen dize olarak kesin zamanı. Örneğin, `2018-08-03T16:45:21.7115183Z`Gerekli.
reportId	Dize	Gelişmiş avlanmadan elde edilen olayın reportId değeri. Gerekli.
machineId	Dize	Olayın tanımlandığı cihazın kimliği. Gerekli.
şiddet	Dize	Uyarının önem derecesi. Özellik değerleri şunlardır: 'Low', 'Medium' ve 'High'. Gerekli.
başlık	Dize	Uyarının başlığı. Gerekli.
Açıklama	Dize	Uyarının açıklaması. Gerekli.
recommendedAction	Dize	Güvenlik görevlisinin uyarıyı analiz ederken bu eylemi gerçekleştirmesi gerekir. Gerekli.
kategori	Dize	Uyarı kategorisi. Özellik değerleri şunlardır: "General", "CommandAndControl", "Collection", "CredentialAccess", "DefenseEvasion", "Discovery", "Exfiltrasyon", "Exploit", "Execution", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity" Required.

Yanıt

Başarılı olursa, bu yöntem 200 Tamam döndürür ve yanıt gövdesinde yeni bir uyarı nesnesi döndürür. Belirtilen özelliklere (reportId, eventTime ve machineId) sahip olay bulunamadıysa - 404 Bulunamadı.

Örnek

İstek

burada isteğin bir örneği verilmiş.

POST https://api.securitycenter.microsoft.com/api/alerts/CreateAlertByReference

{
    "machineId": "1e5bc9d7e413ddd7902c2932e418702b84d0cc07",
    "severity": "Low",
    "title": "example",
    "description": "example alert",
    "recommendedAction": "nothing",
    "eventTime": "2018-08-03T16:45:21.7115183Z",
    "reportId": "20776",
    "category": "Exploit"
}