Поделиться через

Обновление оповещения

  • Статья

Пространство имен: microsoft.graph

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Обновите редактируемое свойство оповещения в любом интегрированном решении, чтобы состояние оповещений и назначения были синхронизированы между решениями. Этот метод обновляет любое решение с записью указанного идентификатора оповещения.

Этот API доступен в следующих национальных облачных развертываниях.

Глобальная служба Правительство США L4 Правительство США L5 (DOD) Китай управляется 21Vianet

Разрешения

Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.

Тип разрешения Разрешения с наименьшими привилегиями Более высокие привилегированные разрешения
Делегированные (рабочая или учебная учетная запись) SecurityEvents.ReadWrite.All Недоступно.
Делегированные (личная учетная запись Майкрософт) Не поддерживается. Не поддерживается.
Приложение SecurityEvents.ReadWrite.All Недоступно.

HTTP-запрос

Примечание: Идентификатор оповещения необходимо включить в качестве параметра и vendorInformation , provider содержащий и vendor с помощью этого метода.

PATCH /security/alerts/{alert_id}

Заголовки запросов

Имя Описание
Авторизация Bearer {код}. Обязательно.
Prefer return=representation. Необязательный параметр.

Текст запроса

В тексте запроса укажите представление значений соответствующих полей, которые должны быть обновлены в формате JSON. Текст должен содержать свойство vendorInformation с допустимыми provider полями и vendor . В следующей таблице перечислены поля, которые можно обновить для оповещения. Значения для существующих свойств, не включенных в текст запроса, не изменятся. Для достижения оптимальной производительности не включайте существующие значения, которые не изменились.

Свойство Тип Описание
assignedTo String Имя аналитика, которому назначается оповещение для рассмотрения, исследования или исправления.
closedDateTime DateTimeOffset Время закрытия оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z.
comments Коллекция String Комментарии аналитика к оповещению (для управления оповещениями клиентов). Этот метод может обновлять поле примечаний только следующими значениями: Closed in IPC, Closed in MCAS.
feedback Перечисление alertFeedback Отзыв аналитика об оповещении. Возможные значения: unknown, truePositive, falsePositive, benignPositive.
status Перечисление alertStatus Состояние жизненного цикла оповещения (этап). Возможные значения: unknown, newAlert, inProgress, resolved.
tags Коллекция String Определяемые пользователем метки, которые могут применяться к оповещению и служить условиями фильтра (например, "HVA", "SAW").
vendorInformation securityVendorInformation Сложный тип, содержащий сведения о поставщике продукта или службы безопасности, поставщике и субпровидедере (например, vendor=Microsoft; provider=Windows Defender ATP). subProvider=AppLocker Поля поставщика и поставщика являются обязательными.

Отклик

В случае успешного выполнения этот метод возвращает код отклика 204 No Content.

Если используется необязательный заголовок запроса, метод возвращает 200 OK код ответа и обновленный объект оповещения в тексте ответа.

Примеры

Пример 1. Запрос без заголовка Prefer

Запрос

В следующем примере показан запрос без заголовка Prefer .

PATCH https://graph.microsoft.com/beta/security/alerts/{alert_id}
Content-type: application/json

{
  "assignedTo": "String",
  "closedDateTime": "String (timestamp)",
  "comments": ["String"],
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": ["String"],
  "vendorInformation":
    {
      "provider": "String",
      "vendor": "String"
    }
}

Отклик

Ниже представлен пример успешного отклика.

HTTP/1.1 204 No Content

Пример 2. Запрос с заголовком Prefer

Запрос

В следующем примере показан запрос, включающий Prefer заголовок запроса.

PATCH https://graph.microsoft.com/beta/security/alerts/{alert_id}
Content-type: application/json
Prefer: return=representation

{
  "assignedTo": "String",
  "closedDateTime": "String (timestamp)",
  "comments": ["String"],
  "feedback": "@odata.type: microsoft.graph.alertFeedback",
  "status": "@odata.type: microsoft.graph.alertStatus",
  "tags": ["String"],
  "vendorInformation":
    {
      "provider": "String",
      "vendor": "String"
    }
}

Отклик

Ниже приведен пример ответа при использовании необязательного Prefer: return=representation заголовка запроса.

Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.

HTTP/1.1 200 OK
Content-type: application/json

{
  "activityGroupName": "activityGroupName-value",
  "assignedTo": "assignedTo-value",
  "azureSubscriptionId": "azureSubscriptionId-value",
  "azureTenantId": "azureTenantId-value",
  "category": "category-value",
  "closedDateTime": "datetime-value"
}