Sdílet prostřednictvím

Typ prostředku ukazatele

  • Článek

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v Microsoft Defender for Endpoint pro zákazníky státní správy USA.

Tip

Pro lepší výkon můžete použít server blíže k vašemu geografickému umístění:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
Metoda Návratový typ Popis
Seznam indikátorů Indikátor Kolekce Seznam entit indikátoru .
Odeslání indikátoru Indikátor Odeslat nebo aktualizovat entitu Indikátor .
Indikátory importu Indikátor Kolekce Odešlete nebo aktualizujte entity indikátorů .
Odstranění indikátoru Žádný obsah Odstraní entitu indikátoru .

Vlastnosti

Vlastnost Typ Popis
Id String Identita entity indikátoru
indicatorValue String Hodnota ukazatele.
typ indikátoru Výčtu Typ ukazatele Možné hodnoty jsou: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainNamea Url.
Aplikace String Aplikace přidružená k indikátoru.
Akce Výčtu Akce, která se provede, pokud je indikátor zjištěn v organizaci. Možné hodnoty jsou: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediatea Allowed.
externalID String ID, které zákazník může odeslat v žádosti o vlastní korelaci.
Sourcetype Výčtu User v případě, že indikátor vytvořil uživatel (například z portálu), v případě, AadApp že byl odeslán pomocí automatizované aplikace prostřednictvím rozhraní API.
createdBySource Řetězec Jméno uživatele nebo aplikace, která indikátor odeslala.
vytvořil(a) String Jedinečná identita uživatele nebo aplikace, která indikátor odeslala.
lastUpdatedBy String Identita uživatele nebo aplikace, která naposledy aktualizovala indikátor
creationTimeDateTimeUtc Datetimeoffset Datum a čas vytvoření indikátoru
expirationTime Datetimeoffset Doba vypršení platnosti indikátoru.
lastUpdateTime Datetimeoffset Čas poslední aktualizace indikátoru.
Závažnosti Výčtu Závažnost ukazatele. Možné hodnoty jsou: Informational, Low, Mediuma High.
Název String Název ukazatele.
description String Popis ukazatele
recommendedActions String Doporučené akce pro indikátor
rbacGroupNames Seznam řetězců Názvy skupin zařízení RBAC, kde je indikátor vystavený a aktivní. Prázdný seznam pro případ, že by byl vystaven všem zařízením.
rbacGroupIds Seznam řetězců ID skupin zařízení RBAC, kde je indikátor vystavený a aktivní. Prázdný seznam pro případ, že by byl vystaven všem zařízením.
generateAlert Výčtu True , pokud se vyžaduje generování upozornění, false , pokud by tento indikátor neměl vygenerovat výstrahu.

Typy indikátorů

Mezi typy akcí indikátorů podporované rozhraním API patří:

  • Povoleno
  • Auditu
  • Blokování
  • BlockAndRemediate
  • Upozornění (jenom Defender for Cloud Apps)

Další informace o popisu typů akcí odpovědí najdete v tématu Create indikátory.

Poznámka

Předchozí akce odpovědi (AlertAndBlock a Alert) budou podporovány do ledna 2022. Po tomto datu musí všichni zákazníci používat jeden z typů akcí uvedených v této části.

Reprezentace JSON

{
    "id": "994",
    "indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
    "indicatorType": "FileSha256",
    "action": "AlertAndBlock",
    "application": null,
    "source": "user@contoso.onmicrosoft.com",
    "sourceType": "User",
    "createdBy": "user@contoso.onmicrosoft.com",
    "severity": "Informational",
    "title": "Michael test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
    "expirationTime": null,
    "lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": ["team1"]
}

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.