Del via

Send eller opdater indikator-API

  • Artikel

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Bemærk!

Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for us Government-kunder.

Tip

For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

API-beskrivelse

Sender eller Opdateringer ny indikatorenhed.

CIDR-notation for IP-adresser understøttes ikke.

Begrænsninger

  1. Hastighedsbegrænsninger for denne API er 100 opkald pr. minut og 1.500 opkald pr. time.
  2. Der er en grænse på 15.000 aktive indikatorer pr. lejer.

Tilladelser

En af følgende tilladelser er påkrævet for at kalde denne API. Hvis du vil vide mere, herunder hvordan du vælger tilladelser, skal du se Kom i gang.

Tilladelsestype Tilladelse Vist navn for tilladelse
Program Ti.ReadWrite Read and write Indicators
Program Ti.ReadWrite.All Read and write All Indicators
Uddelegeret (arbejds- eller skolekonto) Ti.ReadWrite Read and write Indicators

HTTP-anmodning

POST https://api.securitycenter.microsoft.com/api/indicators

Anmodningsheadere

Navn Type Beskrivelse
Tilladelse String Ihændehaver {token}. Påkrævet.
Indholdstype Streng application/json. Påkrævet.

Brødtekst i anmodning

Angiv følgende parametre for et JSON-objekt i anmodningens brødtekst:

Parameter Type Beskrivelse
indicatorValue String Id for indikatorenheden . Påkrævet
indicatorType Enum Indikatorens type. De mulige værdier er: FileSha1, FileMd5, CertificateThumbprint, FileSha256, DomainNameIpAddress, og Url. Påkrævet
Handling Enum Den handling, der udføres, hvis indikatoren registreres i organisationen. De mulige værdier er: Alert, Warn, Block, Audit, AlertAndBlockBlockAndRemediate, og Allowed. Påkrævet. Parameteren GenerateAlert skal angives til TRUE , når du opretter en handling med Audit.
Program String Det program, der er knyttet til indikatoren. Dette felt fungerer kun for nye indikatorer. Værdien opdateres ikke på en eksisterende indikator. Valgfrit
Titel String Titel på indikatoradvarsel. Påkrævet
Beskrivelse String Beskrivelse af indikatoren. Påkrævet
expirationTime DateTimeOffset Indikatorens udløbstid. Valgfrit
Sværhedsgraden Enum Indikatorens alvorsgrad. De mulige værdier er: Informational, Low, Mediumog High. Valgfrit
recommendedActions String Anbefalede handlinger for ti-indikatorbeskeder. Valgfrit
rbacGroupNames String Kommasepareret liste over RBAC-gruppenavne, som indikatoren anvendes på. Valgfrit
educateUrl String URL-adresse til brugerdefineret meddelelse/support. Understøttes for handlingstyperne Bloker og Advar for URL-indikatorer. Valgfrit
generateAlert Enum Sand , hvis generering af beskeder er påkrævet. Falsk , hvis denne indikator ikke skal generere en besked.

Svar

  • Hvis det lykkes, returnerer denne metode 200 – OK-svarkode og det oprettede/opdaterede indikatorobjekt i svarbrødteksten.
  • Hvis det ikke lykkes: Denne metode returnerer 400 – Ugyldig anmodning. Forkert anmodning angiver normalt forkert brødtekst.

Eksempel

Anmodning

Her er et eksempel på anmodningen.

POST https://api.securitycenter.microsoft.com/api/indicators

{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

Relateret artikel

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.