Læs på engelsk

Del via


Vis API for hændelser i Microsoft Defender XDR

Gælder for:

Bemærk

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.

Vigtigt

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

API-beskrivelse

Api'en til listehændelser giver dig mulighed for at sortere gennem hændelser for at oprette et informeret cybersikkerhedssvar. Den viser en samling af hændelser, der er markeret i dit netværk, inden for det tidsinterval, du har angivet i politikken for opbevaring af miljøet. De seneste hændelser vises øverst på listen. Hver hændelse indeholder en matrix af relaterede beskeder og deres relaterede enheder.

API'en understøtter følgende OData-operatorer :

  • $filterunder egenskaberne lastUpdateTime, createdTime, statusog assignedTo
  • $top, med en maksimumværdi på 100
  • $skip

Begrænsninger

  1. Den maksimale sidestørrelse er 100 hændelser.
  2. Den maksimale frekvens for anmodninger er 50 opkald pr. minut og 1500 opkald pr. time.

Tilladelser

En af følgende tilladelser er påkrævet for at kalde denne API. Du kan få mere at vide, herunder hvordan du vælger tilladelser, under Adgang Microsoft Defender XDR API'er

Tilladelsestype Tilladelse Vist navn for tilladelse
Program Incident.Read.All Læs alle hændelser
Program Incident.ReadWrite.All Læs og skriv alle hændelser
Uddelegeret (arbejds- eller skolekonto) Incident.Read Læs hændelser
Uddelegeret (arbejds- eller skolekonto) Incident.ReadWrite Læs og skriv hændelser

Bemærk

Når du henter et token ved hjælp af brugerlegitimationsoplysninger:

  • Brugeren skal have visningstilladelse til hændelser på portalen.
  • Svaret omfatter kun hændelser, som brugeren er eksponeret for.

HTTP-anmodning

GET /api/incidents

Anmodningsheadere

Navn Type Beskrivelse
Tilladelse String Ihændehaver {token}. Påkrævet

Brødtekst i anmodning

Ingen.

Svar

Hvis det lykkes, returnerer 200 OKdenne metode og en liste over hændelser i svarbrødteksten.

Skematilknytning

Metadata for hændelse

Feltnavn Beskrivelse Eksempelværdi
incidentId Entydigt id, der repræsenterer hændelsen 924565
redirectIncidentId Udfyldes kun, hvis en hændelse grupperes sammen med en anden hændelse som en del af hændelsesbehandlingslogikken. 924569
incidentName Strengværdi tilgængelig for hver hændelse. Ransomware-aktivitet
createdTime Tidspunkt, hvor hændelsen først blev oprettet. 2020-09-06T14:46:57.0733333Z
lastUpdateTime Tidspunkt for seneste opdatering af hændelsen på backend.

Dette felt kan bruges, når du angiver anmodningsparameteren for det tidsinterval, hvor hændelser hentes.

2020-09-06T14:46:57.29Z
tildelt til Ejer af hændelsen eller null , hvis der ikke er tildelt nogen ejer. secop2@contoso.com
Klassificering Specifikationen for hændelsen. Egenskabsværdierne er: Unknown, FalsePositive, TruePositive Unknown
Bestemmelse Angiver afgørelsen af hændelsen. Egenskabsværdierne er: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other Ikke tilgængelig
detectionSource Angiver registreringskilden. Defender for Cloud Apps
Status Kategoriser hændelser (som Aktive eller Løst). Det kan hjælpe dig med at organisere og administrere dit svar på hændelser. Aktive
Sværhedsgraden Angiver den mulige indvirkning på aktiver. Jo højere alvorsgrad, jo større er indvirkningen. Elementer med højere alvorsgrad kræver typisk den mest øjeblikkelige opmærksomhed.

En af følgende værdier: Informational, Low, *Medium og High.

Middel
Tags Matrix af brugerdefinerede mærker, der er knyttet til en hændelse, f.eks. for at markere en gruppe af hændelser med en fælles egenskab. []
Kommentarer Matrix af kommentarer, der er oprettet af secops, når hændelsen administreres, f.eks. yderligere oplysninger om klassificeringsvalget. []
Indberetninger Matrix, der indeholder alle de beskeder, der er relateret til hændelsen, samt andre oplysninger, f.eks. alvorsgrad, enheder, der var involveret i beskeden, og kilden til beskederne. [] (se detaljer om beskedfelter nedenfor)

Metadata for beskeder

Feltnavn Beskrivelse Eksempelværdi
alertId Entydigt id, der repræsenterer beskeden caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId Entydigt id, der repræsenterer den hændelse, som denne besked er knyttet til 924565
serviceSource Den tjeneste, som beskeden stammer fra, f.eks. Microsoft Defender for Endpoint, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity eller Microsoft Defender for Office 365. MicrosoftCloudAppSecurity
creationTime Tidspunkt, hvor beskeden første gang blev oprettet. 2020-09-06T14:46:55.7182276Z
lastUpdatedTime Det tidspunkt, hvor beskeden sidst blev opdateret i backend. 2020-09-06T14:46:57.2433333Z
resolvedTime Tidspunkt, hvor beskeden blev løst. 2020-09-10T05:22:59Z
firstActivity Det tidspunkt, hvor beskeden første gang rapporterede, at aktiviteten blev opdateret i backend. 2020-09-04T05:22:59Z
Titel Kort identificerende strengværdi, der er tilgængelig for hver besked. Ransomware-aktivitet
Beskrivelse Strengværdi, der beskriver hver besked. Brugeren Test User2 (testUser2@contoso.com) manipulerede 99 filer med flere udvidelser, der slutter med den ualmindelige udvidelse herunterladen. Dette er et usædvanligt antal filmanipulationer og er tegn på et potentielt ransomware-angreb.
Kategori Visuelt og numerisk billede af, hvor langt angrebet er nået langs kill-kæden. Justeret i forhold til MITRE ATT&CK-strukturen™. Indvirkning
Status Kategoriser beskeder (som Ny, Aktiv eller Løst). Det kan hjælpe dig med at organisere og administrere dit svar på beskeder. Nye
Sværhedsgraden Angiver den mulige indvirkning på aktiver. Jo højere alvorsgrad, jo større er indvirkningen. Elementer med højere alvorsgrad kræver typisk den mest øjeblikkelige opmærksomhed.
En af følgende værdier: Informational, Low, Medium og High.
Middel
investigationId Det automatiserede undersøgelses-id, der udløses af denne besked. 1234
investigationState Oplysninger om undersøgelsens aktuelle status. En af følgende værdier: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. Ikke-understøttetAlertType
Klassificering Specifikationen for hændelsen. Egenskabsværdierne er: Ukendt, FalsePositive, TruePositive eller null Unknown
Bestemmelse Angiver afgørelsen af hændelsen. Egenskabsværdierne er: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other eller null Apt
tildelt til Ejer af hændelsen eller null , hvis der ikke er tildelt nogen ejer. secop2@contoso.com
actorName Den aktivitetsgruppe, der er knyttet til denne besked, hvis der er nogen. BOR
threatFamilyName Trusselsfamilie, der er knyttet til denne besked. Null
mitreTechniques Angrebsteknikkerne er i overensstemmelse med MITRE ATT-&CK-strukturen™. []
Enheder Alle enheder, hvor der blev sendt beskeder relateret til hændelsen. [] (se detaljer om objektfelter nedenfor)

Enhedsformat

Feltnavn Beskrivelse Eksempelværdi
Deviceid Enheds-id'et som angivet i Microsoft Defender for Endpoint. 24c222b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceId Enheds-id'et som angivet i Microsoft Entra ID. Kun tilgængelig for domænetilsluttede enheder. Null
deviceDnsName Det fuldt kvalificerede domænenavn for enheden. user5cx.middleeast.corp.contoso.com
osPlatform Den OS-platform, som enheden kører. WindowsServer2016
osBuild Buildversionen for det operativsystem, som enheden kører. 14393
rbacGroupName Den rollebaserede adgangskontrolgruppe (RBAC), der er knyttet til enheden. WDATP-Ring0
firstSeen Tidspunkt, hvor enheden først blev set. 2020-02-06T14:16:01.9330135Z
healthStatus Enhedens tilstandstilstand. Aktive
riskScore Risikoscore for enheden. Høj
Enheder Alle enheder, der er blevet identificeret til at være en del af eller relateret til en given besked. [] (se detaljer om objektfelter nedenfor)

Objektformat

Feltnavn Beskrivelse Eksempelværdi
entityType Enheder, der er blevet identificeret til at være en del af eller relateret til en given besked.
Egenskabsværdierne er: User, Ip, URL, File, Process, MailBox, MailMessage, MailCluster, Registry
Bruger
sha1 Tilgængelig, hvis entityType er File.
Filhash for beskeder, der er knyttet til en fil eller proces.
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 Tilgængelig, hvis entityType er File.
Filhash for beskeder, der er knyttet til en fil eller proces.
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
Filnavn Tilgængelig, hvis entityType er File.
Filnavnet for beskeder, der er knyttet til en fil eller proces
Detector.UnitTests.dll
filePath Tilgængelig, hvis entityType er File.
Filstien til beskeder, der er knyttet til en fil eller proces
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
processId Tilgængelig, hvis entityType er Proces. 24348
processCommandLine Tilgængelig, hvis entityType er Proces. "Filen er klar til at Download_1911150169.exe"
processCreationTime Tilgængelig, hvis entityType er Proces. 2020-07-18T03:25:38.5269993Z
parentProcessId Tilgængelig, hvis entityType er Proces. 16840
parentProcessCreationTime Tilgængelig, hvis entityType er Proces. 2020-07-18T02:12:32.8616797Z
Ipadresse Tilgængelig, hvis entityType er Ip.
IP-adresse for beskeder, der er knyttet til netværkshændelser, f.eks . Kommunikation til en skadelig netværksdestination.
62.216.203.204
Url Tilgængelig, hvis entityType er URL-adresse.
URL-adresse for beskeder, der er knyttet til netværkshændelser, f.eks . Kommunikation til en skadelig netværksdestination.
down.esales360.cn
accountName Tilgængelig, hvis entityType er User. testUser2
Domainname Tilgængelig, hvis entityType er User. europe.corp.contoso
userSid Tilgængelig, hvis entityType er User. S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId Tilgængelig, hvis entityType er User. fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName Tilgængelig, hvis entityType er User/MailBox/MailMessage. testUser2@contoso.com
mailboxDisplayName Tilgængelig, hvis entityType er MailBox. test User2
mailboxAddress Tilgængelig, hvis entityType er User/MailBox/MailMessage. testUser2@contoso.com
clusterBy Tilgængelig, hvis entityType er MailCluster. Emne; P2SenderDomain; Contenttype
Afsender Tilgængelig, hvis entityType er User/MailBox/MailMessage. user.abc@mail.contoso.co.in
Modtager Tilgængelig, hvis entityType er MailMessage. testUser2@contoso.com
Emne Tilgængelig, hvis entityType er MailMessage. [EKSTERN] Opmærksomhed
deliveryAction Tilgængelig, hvis entityType er MailMessage. Leveret
securityGroupId Tilgængelig, hvis entityType er SecurityGroup. 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName Tilgængelig, hvis entityType er SecurityGroup. Netværkskonfigurationsoperatorer
registryHive Tilgængelig, hvis entityType er i registreringsdatabasen. HKEY_LOCAL_MACHINE
registryKey Tilgængelig, hvis entityType er i registreringsdatabasen. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType Tilgængelig, hvis entityType er i registreringsdatabasen. String
registryValue Tilgængelig, hvis entityType er i registreringsdatabasen. 31-00-00-00
Deviceid Id'et for den enhed, der er relateret til enheden, hvis der er nogen. 986e5df8b73dacd43c8917d17e523e76b13c75cd

Eksempel

Eksempel på anmodning

GET https://api.security.microsoft.com/api/incidents

Svareksempel

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.