Send eller opdater indikator-API
Gælder for:
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Bemærk!
Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for US Government-kunder.
Tip
For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-beskrivelse
Sender eller opdaterer en ny indikatorenhed .
CIDR-notation for IP-adresser understøttes ikke.
Begrænsninger
- Hastighedsbegrænsninger for denne API er 100 opkald pr. minut og 1.500 opkald pr. time.
- Der er en grænse på 15.000 aktive indikatorer pr. lejer.
Tilladelser
En af følgende tilladelser er påkrævet for at kalde denne API. Hvis du vil vide mere, herunder hvordan du vælger tilladelser, skal du se Kom i gang.
| Tilladelsestype | Tilladelse | Vist navn for tilladelse |
|---|---|---|
| Program | Ti.ReadWrite | Read and write Indicators |
| Program | Ti.ReadWrite.All | Read and write All Indicators |
| Uddelegeret (arbejds- eller skolekonto) | Ti.ReadWrite | Read and write Indicators |
HTTP-anmodning
POST https://api.securitycenter.microsoft.com/api/indicators
Anmodningsheadere
| Navn | Type | Beskrivelse |
|---|---|---|
| Autorisation | String | Ihændehaver {token}. Påkrævet. |
| Indholdstype | streng | application/json. Påkrævet. |
Brødtekst i anmodning
Angiv følgende parametre for et JSON-objekt i anmodningens brødtekst:
| Parameter | Type | Beskrivelse |
|---|---|---|
| indicatorValue | String | Id for indikatorenheden . Påkrævet |
| indicatorType | Optæller | Indikatorens type. De mulige værdier er: FileSha1, FileMd5, CertificateThumbprint, FileSha256, DomainNameIpAddress, og Url.
Påkrævet |
| handling | Optæller | Den handling, der udføres, hvis indikatoren registreres i organisationen. De mulige værdier er: Alert, Warn, Block, Audit, AlertAndBlockBlockAndRemediate, og Allowed.
Påkrævet. Parameteren GenerateAlert skal angives til TRUE , når du opretter en handling med Audit. |
| ansøgning | String | Det program, der er knyttet til indikatoren. Dette felt fungerer kun for nye indikatorer. Værdien opdateres ikke på en eksisterende indikator. Valgfrit |
| titel | String | Titel på indikatoradvarsel. Påkrævet |
| beskrivelse | String | Beskrivelse af indikatoren. Påkrævet |
| expirationTime | DateTimeOffset | Indikatorens udløbstid. Valgfrit |
| alvorlighed | Optæller | Indikatorens alvorsgrad. De mulige værdier er: Informational, Low, Mediumog High.
Valgfrit |
| recommendedActions | String | Anbefalede handlinger for ti-indikatorbeskeder. Valgfrit |
| rbacGroupNames | String | Kommasepareret liste over RBAC-gruppenavne, som indikatoren anvendes på. Valgfrit |
| educateUrl | String | URL-adresse til brugerdefineret meddelelse/support. Understøttes for handlingstyperne Bloker og Advar for URL-indikatorer. Valgfrit |
| generateAlert | Optæller | Sand , hvis generering af beskeder er påkrævet. Falsk , hvis denne indikator ikke skal generere en besked. |
Svar
- Hvis det lykkes, returnerer denne metode 200 – OK-svarkode og det oprettede/opdaterede indikatorobjekt i svarbrødteksten.
- Hvis det ikke lykkes: Denne metode returnerer 400 – Ugyldig anmodning. Forkert anmodning angiver normalt forkert brødtekst.
Eksempel
Bøn
Her er et eksempel på anmodningen.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Relateret artikel
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.