Výpis rozhraní API pro incidenty v Microsoft Defender XDR

Platí pro:

Poznámka

Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Popis rozhraní API

Rozhraní API seznamu incidentů umožňuje řadit incidenty a vytvořit tak informovanou reakci na kybernetickou bezpečnost. Zveřejňuje kolekci incidentů, které byly ve vaší síti označeny příznakem, a to v časovém rozsahu, který jste zadali v zásadách uchovávání informací prostředí. Nejnovější incidenty se zobrazují v horní části seznamu. Každý incident obsahuje pole souvisejících výstrah a jejich souvisejících entit.

Rozhraní API podporuje následující operátory OData :

  • $filterve vlastnostech lastUpdateTime, createdTime, statusa assignedTo
  • $top, s maximální hodnotou 100
  • $skip

Omezení

  1. Maximální velikost stránky je 100 incidentů.
  2. Maximální frekvence požadavků je 50 hovorů za minutu a 1500 volání za hodinu.

Oprávnění

K volání tohoto rozhraní API se vyžaduje jedno z následujících oprávnění. Další informace, včetně výběru oprávnění, najdete v tématu Přístup Microsoft Defender XDR ROZHRANÍ API.

Typ oprávnění Oprávnění Zobrazovaný název oprávnění
Application Incident.Read.All Přečíst všechny incidenty
Application Incident.ReadWrite.All Čtení a zápis všech incidentů
Delegovaný (pracovní nebo školní účet) Incident.Read Čtení incidentů
Delegovaný (pracovní nebo školní účet) Incident.ReadWrite Incidenty čtení a zápisu

Poznámka

Při získávání tokenu pomocí přihlašovacích údajů uživatele:

  • Uživatel musí mít oprávnění k zobrazení incidentů na portálu.
  • Odpověď bude zahrnovat pouze incidenty, kterým je uživatel vystaven.

Požadavek HTTP

GET /api/incidents

Hlavičky požadavků

Name (Název) Typ Popis
Autorizace String Nosný {token}. Povinný

Text požadavku

Žádný.

Reakce

V případě úspěchu tato metoda vrátí 200 OKa seznam incidentů v těle odpovědi.

Mapování schématu

Metadata incidentu

Název pole Popis Příklad hodnoty
incidentId Jedinečný identifikátor představující incident 924565
redirectIncidentId Naplní se pouze v případě, že je incident seskupen s jiným incidentem v rámci logiky zpracování incidentu. 924569
název incidentu Řetězcová hodnota je k dispozici pro každý incident. Aktivita ransomware
createdTime Čas, kdy byl incident poprvé vytvořen. 2020-09-06T14:46:57.0733333Z
lastUpdateTime Čas poslední aktualizace incidentu na back-endu

Toto pole se dá použít při nastavování parametru požadavku na dobu, po kterou se incidenty načítají.

2020-09-06T14:46:57.29Z
Přiřazeno Vlastník incidentu nebo null , pokud není přiřazen žádný vlastník. secop2@contoso.com
Klasifikace Specifikace incidentu. Hodnoty vlastnosti jsou: Unknown, FalsePositive, TruePositive Unknown (neznámý)
Stanovení Určuje určení incidentu. Hodnoty vlastností jsou: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other Nedostupné
detectionSource Určuje zdroj detekce. Defender for Cloud Apps
Stav Kategorizovat incidenty (jako aktivní nebo vyřešené). Může vám pomoct uspořádat a spravovat reakce na incidenty. Aktivní
Závažnosti Označuje možný dopad na prostředky. Čím vyšší je závažnost, tím větší je dopad. Položky s vyšší závažností obvykle vyžadují okamžitou pozornost.

Jedna z následujících hodnot: Informační, Nízká, *Střední a Vysoká.

Střední
Tagy Pole vlastních značek přidružených k incidentu, například k označení skupiny incidentů společnou charakteristikou []
Komentáře Pole komentářů vytvořených parametry při správě incidentu, například další informace o výběru klasifikace []
Výstrahy Pole obsahující všechny výstrahy související s incidentem a další informace, jako je závažnost, entity, které byly součástí výstrahy, a zdroj výstrah. [] (podrobnosti o polích upozornění najdete níže)

Metadata upozornění

Název pole Popis Příklad hodnoty
alertId Jedinečný identifikátor představující výstrahu caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId Jedinečný identifikátor představující incident, ke kterým je tato výstraha přidružená 924565
serviceSource Služba, ze které výstraha pochází, například Microsoft Defender for Endpoint, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity nebo Microsoft Defender pro Office 365. MicrosoftCloudAppSecurity
creationTime Čas, kdy se výstraha poprvé vytvořila. 2020-09-06T14:46:55.7182276Z
lastUpdatedTime Čas poslední aktualizace upozornění na back-endu 2020-09-06T14:46:57.2433333Z
resolvedTime Čas, kdy se upozornění vyřešilo. 2020-09-10T05:22:59Z
firstActivity Čas, kdy upozornění poprvé nahlásilo, že se aktivita aktualizovala na back-endu. 2020-09-04T05:22:59Z
Název Stručná identifikační hodnota řetězce dostupná pro každou výstrahu Aktivita ransomware
description Řetězcová hodnota popisující jednotlivé výstrahy Uživatel Test User2 (testUser2@contoso.com) manipuloval s 99 soubory s více příponami, které končily s neobvyklou příponou herunterladen. Jedná se o neobvyklý počet manipulací se soubory a značí potenciální útok ransomwarem.
Kategorie Vizuální a číselné zobrazení toho, jak daleko útok postoupil v rámci řetězce killů. Odpovídá architektuře MITRE ATT&CK™. Dopad
Stav Kategorizovat výstrahy (jako Nové, Aktivní nebo Vyřešené). Může vám pomoct uspořádat a spravovat reakce na upozornění. Nwe
Závažnosti Označuje možný dopad na prostředky. Čím vyšší je závažnost, tím větší je dopad. Položky s vyšší závažností obvykle vyžadují okamžitou pozornost.
Jedna z následujících hodnot: Informační, Nízká, Střední a Vysoká.
Střední
investigationId ID automatizovaného šetření aktivované touto výstrahou 1234
investigationState Informace o aktuálním stavu vyšetřování. Jedna z následujících hodnot: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. UnsupportedAlertType
Klasifikace Specifikace incidentu. Hodnoty vlastností jsou : Unknown, FalsePositive, TruePositive nebo null Unknown (neznámý)
Stanovení Určuje určení incidentu. Hodnoty vlastností jsou: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other nebo null Apt
Přiřazeno Vlastník incidentu nebo null , pokud není přiřazen žádný vlastník. secop2@contoso.com
actorName Skupina aktivit, pokud existuje, přidružená k tomuto upozornění. BORU
threatFamilyName Rodina hrozeb přidružená k tomuto upozornění Null
MitreTechniques Techniky útoku v souladu s architekturou MITRE ATT&CK™. []
devices Všechna zařízení, na která se odeslaly výstrahy související s incidentem. [] (podrobnosti o polích entit najdete níže)

Formát zařízení

Název pole Popis Příklad hodnoty
Deviceid ID zařízení určené v Microsoft Defender for Endpoint. 24c222b0b60fe148eeeece49ac83910cc6a7ef491
aadDeviceId ID zařízení určené v Microsoft Entra ID. K dispozici pouze pro zařízení připojená k doméně. Null
deviceDnsName Plně kvalifikovaný název domény pro zařízení. user5cx.middleeast.corp.contoso.com
osPlatform Platforma operačního systému, na které zařízení běží. WindowsServer2016
osBuild Verze buildu operačního systému, na kterém zařízení běží. 14393
rbacGroupName Skupina řízení přístupu na základě role (RBAC) přidružená k zařízení. WDATP-Ring0
firstSeen Čas, kdy se zařízení poprvé zobrazilo. 2020-02-06T14:16:01.9330135Z
healthStatus Stav zařízení. Aktivní
riskScore Rizikové skóre pro zařízení. High (Vysoká)
Entity Všechny entity, u kterých bylo zjištěno, že jsou součástí dané výstrahy nebo s nimi souvisejí. [] (podrobnosti o polích entit najdete níže)

Formát entity

Název pole Popis Příklad hodnoty
entityType Entity, u kterých bylo zjištěno, že jsou součástí dané výstrahy nebo s nimi souvisejí.
Hodnoty vlastností jsou: User, IP, Url, File, Process, MailBox, MailMessage, MailCluster, Registry.
User
sha1 K dispozici, pokud je entityType Soubor.
Hodnota hash souboru pro výstrahy přidružené k souboru nebo procesu
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 K dispozici, pokud je entityType Soubor.
Hodnota hash souboru pro výstrahy přidružené k souboru nebo procesu
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
Název_souboru K dispozici, pokud je entityType Soubor.
Název souboru pro výstrahy přidružené k souboru nebo procesu
Detector.UnitTests.dll
Filepath K dispozici, pokud je entityType Soubor.
Cesta k souboru pro výstrahy přidružené k souboru nebo procesu
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
Processid K dispozici, pokud je entityType Proces. 24348
processCommandLine K dispozici, pokud je entityType Proces. "Váš soubor je připravený k Download_1911150169.exe"
processCreationTime K dispozici, pokud je entityType Proces. 2020-07-18T03:25:38.5269993Z
parentProcessId K dispozici, pokud je entityType Proces. 16840
parentProcessCreationTime K dispozici, pokud je entityType Proces. 2020-07-18T02:12:32.8616797Z
ipAddress K dispozici, pokud je entityType IP.
IP adresa pro výstrahy přidružené k událostem sítě, jako je například Komunikace s cílem sítě se zlými úmysly.
62.216.203.204
Adresu url K dispozici, pokud je entityType adresa URL.
Adresa URL pro výstrahy přidružené k událostem sítě, jako je například Komunikace s cílem sítě se zlými úmysly.
down.esales360.cn
accountName K dispozici, pokud je entityType Uživatel. testUser2
Název_domény K dispozici, pokud je entityType Uživatel. europe.corp.contoso
userSid K dispozici, pokud je entityType Uživatel. S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId K dispozici, pokud je entityType Uživatel. fc8f7484-f813-4db2-afab-bc1507913fb6
Userprincipalname K dispozici, pokud entityType je User/MailBox/MailMessage. testUser2@contoso.com
mailboxDisplayName K dispozici, pokud je entityType MailBox. test User2
poštovní schránkaAddress K dispozici, pokud entityType je User/MailBox/MailMessage. testUser2@contoso.com
clusterBy K dispozici, pokud entityType je MailCluster. Předmět; P2SenderDomain; Contenttype
Odesílatele K dispozici, pokud entityType je User/MailBox/MailMessage. user.abc@mail.contoso.co.in
Příjemce K dispozici, pokud entityType je MailMessage. testUser2@contoso.com
Předmět K dispozici, pokud entityType je MailMessage. [EXTERNÍ] Pozornost
deliveryAction K dispozici, pokud entityType je MailMessage. Dodané
securityGroupId K dispozici, pokud je entityType SecurityGroup. 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName K dispozici, pokud je entityType SecurityGroup. Operátory konfigurace sítě
registrHive K dispozici, pokud je entityType registr. HKEY_LOCAL_MACHINE
Registrykey K dispozici, pokud je entityType registr. SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Winlogon
registryValueType K dispozici, pokud je entityType registr. String
hodnota registru K dispozici, pokud je entityType registr. 31-00-00-00
Deviceid ID zařízení souvisejícího s entitou (pokud existuje). 986e5df8b73dacd43c8917d17e523e76b13c75cd

Příklad

Příklad požadavku

GET https://api.security.microsoft.com/api/incidents

Příklad odpovědi

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.