Výpis rozhraní API pro incidenty v Microsoft Defender XDR
Platí pro:
Poznámka
Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Rozhraní API seznamu incidentů umožňuje řadit incidenty a vytvořit tak informovanou reakci na kybernetickou bezpečnost. Zveřejňuje kolekci incidentů, které byly ve vaší síti označeny příznakem, a to v časovém rozsahu, který jste zadali v zásadách uchovávání informací prostředí. Nejnovější incidenty se zobrazují v horní části seznamu. Každý incident obsahuje pole souvisejících výstrah a jejich souvisejících entit.
Rozhraní API podporuje následující operátory OData :
-
$filter
ve vlastnostechlastUpdateTime
,createdTime
,status
aassignedTo
-
$top
, s maximální hodnotou 100 $skip
- Maximální velikost stránky je 100 incidentů.
- Maximální frekvence požadavků je 50 hovorů za minutu a 1500 volání za hodinu.
K volání tohoto rozhraní API se vyžaduje jedno z následujících oprávnění. Další informace, včetně výběru oprávnění, najdete v tématu Přístup Microsoft Defender XDR ROZHRANÍ API.
Typ oprávnění | Oprávnění | Zobrazovaný název oprávnění |
---|---|---|
Application | Incident.Read.All | Přečíst všechny incidenty |
Application | Incident.ReadWrite.All | Čtení a zápis všech incidentů |
Delegovaný (pracovní nebo školní účet) | Incident.Read | Čtení incidentů |
Delegovaný (pracovní nebo školní účet) | Incident.ReadWrite | Incidenty čtení a zápisu |
Poznámka
Při získávání tokenu pomocí přihlašovacích údajů uživatele:
- Uživatel musí mít oprávnění k zobrazení incidentů na portálu.
- Odpověď bude zahrnovat pouze incidenty, kterým je uživatel vystaven.
GET /api/incidents
Name (Název) | Typ | Popis |
---|---|---|
Autorizace | String | Nosný {token}. Povinný |
Žádný.
V případě úspěchu tato metoda vrátí 200 OK
a seznam incidentů v těle odpovědi.
Název pole | Popis | Příklad hodnoty |
---|---|---|
incidentId | Jedinečný identifikátor představující incident | 924565 |
redirectIncidentId | Naplní se pouze v případě, že je incident seskupen s jiným incidentem v rámci logiky zpracování incidentu. | 924569 |
název incidentu | Řetězcová hodnota je k dispozici pro každý incident. | Aktivita ransomware |
createdTime | Čas, kdy byl incident poprvé vytvořen. | 2020-09-06T14:46:57.0733333Z |
lastUpdateTime | Čas poslední aktualizace incidentu na back-endu Toto pole se dá použít při nastavování parametru požadavku na dobu, po kterou se incidenty načítají. |
2020-09-06T14:46:57.29Z |
Přiřazeno | Vlastník incidentu nebo null , pokud není přiřazen žádný vlastník. | secop2@contoso.com |
Klasifikace | Specifikace incidentu. Hodnoty vlastnosti jsou: Unknown, FalsePositive, TruePositive | Unknown (neznámý) |
Stanovení | Určuje určení incidentu. Hodnoty vlastností jsou: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | Nedostupné |
detectionSource | Určuje zdroj detekce. | Defender for Cloud Apps |
Stav | Kategorizovat incidenty (jako aktivní nebo vyřešené). Může vám pomoct uspořádat a spravovat reakce na incidenty. | Aktivní |
Závažnosti | Označuje možný dopad na prostředky. Čím vyšší je závažnost, tím větší je dopad. Položky s vyšší závažností obvykle vyžadují okamžitou pozornost. Jedna z následujících hodnot: Informační, Nízká, *Střední a Vysoká. |
Střední |
Tagy | Pole vlastních značek přidružených k incidentu, například k označení skupiny incidentů společnou charakteristikou | [] |
Komentáře | Pole komentářů vytvořených parametry při správě incidentu, například další informace o výběru klasifikace | [] |
Výstrahy | Pole obsahující všechny výstrahy související s incidentem a další informace, jako je závažnost, entity, které byly součástí výstrahy, a zdroj výstrah. | [] (podrobnosti o polích upozornění najdete níže) |
Název pole | Popis | Příklad hodnoty |
---|---|---|
alertId | Jedinečný identifikátor představující výstrahu | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
incidentId | Jedinečný identifikátor představující incident, ke kterým je tato výstraha přidružená | 924565 |
serviceSource | Služba, ze které výstraha pochází, například Microsoft Defender for Endpoint, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity nebo Microsoft Defender pro Office 365. | MicrosoftCloudAppSecurity |
creationTime | Čas, kdy se výstraha poprvé vytvořila. | 2020-09-06T14:46:55.7182276Z |
lastUpdatedTime | Čas poslední aktualizace upozornění na back-endu | 2020-09-06T14:46:57.2433333Z |
resolvedTime | Čas, kdy se upozornění vyřešilo. | 2020-09-10T05:22:59Z |
firstActivity | Čas, kdy upozornění poprvé nahlásilo, že se aktivita aktualizovala na back-endu. | 2020-09-04T05:22:59Z |
Název | Stručná identifikační hodnota řetězce dostupná pro každou výstrahu | Aktivita ransomware |
description | Řetězcová hodnota popisující jednotlivé výstrahy | Uživatel Test User2 (testUser2@contoso.com) manipuloval s 99 soubory s více příponami, které končily s neobvyklou příponou herunterladen. Jedná se o neobvyklý počet manipulací se soubory a značí potenciální útok ransomwarem. |
Kategorie | Vizuální a číselné zobrazení toho, jak daleko útok postoupil v rámci řetězce killů. Odpovídá architektuře MITRE ATT&CK™. | Dopad |
Stav | Kategorizovat výstrahy (jako Nové, Aktivní nebo Vyřešené). Může vám pomoct uspořádat a spravovat reakce na upozornění. | Nwe |
Závažnosti | Označuje možný dopad na prostředky. Čím vyšší je závažnost, tím větší je dopad. Položky s vyšší závažností obvykle vyžadují okamžitou pozornost. Jedna z následujících hodnot: Informační, Nízká, Střední a Vysoká. |
Střední |
investigationId | ID automatizovaného šetření aktivované touto výstrahou | 1234 |
investigationState | Informace o aktuálním stavu vyšetřování. Jedna z následujících hodnot: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | UnsupportedAlertType |
Klasifikace | Specifikace incidentu. Hodnoty vlastností jsou : Unknown, FalsePositive, TruePositive nebo null | Unknown (neznámý) |
Stanovení | Určuje určení incidentu. Hodnoty vlastností jsou: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other nebo null | Apt |
Přiřazeno | Vlastník incidentu nebo null , pokud není přiřazen žádný vlastník. | secop2@contoso.com |
actorName | Skupina aktivit, pokud existuje, přidružená k tomuto upozornění. | BORU |
threatFamilyName | Rodina hrozeb přidružená k tomuto upozornění | Null |
MitreTechniques | Techniky útoku v souladu s architekturou MITRE ATT&CK™. | [] |
devices | Všechna zařízení, na která se odeslaly výstrahy související s incidentem. | [] (podrobnosti o polích entit najdete níže) |
Název pole | Popis | Příklad hodnoty |
---|---|---|
Deviceid | ID zařízení určené v Microsoft Defender for Endpoint. | 24c222b0b60fe148eeeece49ac83910cc6a7ef491 |
aadDeviceId | ID zařízení určené v Microsoft Entra ID. K dispozici pouze pro zařízení připojená k doméně. | Null |
deviceDnsName | Plně kvalifikovaný název domény pro zařízení. | user5cx.middleeast.corp.contoso.com |
osPlatform | Platforma operačního systému, na které zařízení běží. | WindowsServer2016 |
osBuild | Verze buildu operačního systému, na kterém zařízení běží. | 14393 |
rbacGroupName | Skupina řízení přístupu na základě role (RBAC) přidružená k zařízení. | WDATP-Ring0 |
firstSeen | Čas, kdy se zařízení poprvé zobrazilo. | 2020-02-06T14:16:01.9330135Z |
healthStatus | Stav zařízení. | Aktivní |
riskScore | Rizikové skóre pro zařízení. | High (Vysoká) |
Entity | Všechny entity, u kterých bylo zjištěno, že jsou součástí dané výstrahy nebo s nimi souvisejí. | [] (podrobnosti o polích entit najdete níže) |
Název pole | Popis | Příklad hodnoty |
---|---|---|
entityType | Entity, u kterých bylo zjištěno, že jsou součástí dané výstrahy nebo s nimi souvisejí. Hodnoty vlastností jsou: User, IP, Url, File, Process, MailBox, MailMessage, MailCluster, Registry. |
User |
sha1 | K dispozici, pokud je entityType Soubor. Hodnota hash souboru pro výstrahy přidružené k souboru nebo procesu |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
sha256 | K dispozici, pokud je entityType Soubor. Hodnota hash souboru pro výstrahy přidružené k souboru nebo procesu |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
Název_souboru | K dispozici, pokud je entityType Soubor. Název souboru pro výstrahy přidružené k souboru nebo procesu |
Detector.UnitTests.dll |
Filepath | K dispozici, pokud je entityType Soubor. Cesta k souboru pro výstrahy přidružené k souboru nebo procesu |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
Processid | K dispozici, pokud je entityType Proces. | 24348 |
processCommandLine | K dispozici, pokud je entityType Proces. | "Váš soubor je připravený k Download_1911150169.exe" |
processCreationTime | K dispozici, pokud je entityType Proces. | 2020-07-18T03:25:38.5269993Z |
parentProcessId | K dispozici, pokud je entityType Proces. | 16840 |
parentProcessCreationTime | K dispozici, pokud je entityType Proces. | 2020-07-18T02:12:32.8616797Z |
ipAddress | K dispozici, pokud je entityType IP. IP adresa pro výstrahy přidružené k událostem sítě, jako je například Komunikace s cílem sítě se zlými úmysly. |
62.216.203.204 |
Adresu url | K dispozici, pokud je entityType adresa URL. Adresa URL pro výstrahy přidružené k událostem sítě, jako je například Komunikace s cílem sítě se zlými úmysly. |
down.esales360.cn |
accountName | K dispozici, pokud je entityType Uživatel. | testUser2 |
Název_domény | K dispozici, pokud je entityType Uživatel. | europe.corp.contoso |
userSid | K dispozici, pokud je entityType Uživatel. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
aadUserId | K dispozici, pokud je entityType Uživatel. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
Userprincipalname | K dispozici, pokud entityType je User/MailBox/MailMessage. | testUser2@contoso.com |
mailboxDisplayName | K dispozici, pokud je entityType MailBox. | test User2 |
poštovní schránkaAddress | K dispozici, pokud entityType je User/MailBox/MailMessage. | testUser2@contoso.com |
clusterBy | K dispozici, pokud entityType je MailCluster. | Předmět; P2SenderDomain; Contenttype |
Odesílatele | K dispozici, pokud entityType je User/MailBox/MailMessage. | user.abc@mail.contoso.co.in |
Příjemce | K dispozici, pokud entityType je MailMessage. | testUser2@contoso.com |
Předmět | K dispozici, pokud entityType je MailMessage. | [EXTERNÍ] Pozornost |
deliveryAction | K dispozici, pokud entityType je MailMessage. | Dodané |
securityGroupId | K dispozici, pokud je entityType SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
securityGroupName | K dispozici, pokud je entityType SecurityGroup. | Operátory konfigurace sítě |
registrHive | K dispozici, pokud je entityType registr. | HKEY_LOCAL_MACHINE |
Registrykey | K dispozici, pokud je entityType registr. | SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Winlogon |
registryValueType | K dispozici, pokud je entityType registr. | String |
hodnota registru | K dispozici, pokud je entityType registr. | 31-00-00-00 |
Deviceid | ID zařízení souvisejícího s entitou (pokud existuje). | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
GET https://api.security.microsoft.com/api/incidents
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.