Vis API for hændelser i Microsoft Defender XDR
Gælder for:
Bemærk!
Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
API-beskrivelse
Api'en til listehændelser giver dig mulighed for at sortere gennem hændelser for at oprette et informeret cybersikkerhedssvar. Den viser en samling af hændelser, der er markeret i dit netværk, inden for det tidsinterval, du har angivet i politikken for opbevaring af miljøet. De seneste hændelser vises øverst på listen. Hver hændelse indeholder en matrix af relaterede beskeder og deres relaterede enheder.
API'en understøtter følgende OData-operatorer :
$filterunder egenskabernelastUpdateTime,createdTime,statusogassignedTo$top, med en maksimumværdi på 100$skip
Begrænsninger
- Den maksimale sidestørrelse er 100 hændelser.
- Den maksimale frekvens for anmodninger er 50 opkald pr. minut og 1500 opkald pr. time.
Tilladelser
En af følgende tilladelser er påkrævet for at kalde denne API. Du kan få mere at vide, herunder hvordan du vælger tilladelser, under Adgang Microsoft Defender XDR API'er
| Tilladelsestype | Tilladelse | Vist navn for tilladelse |
|---|---|---|
| Program | Incident.Read.All | Læs alle hændelser |
| Program | Incident.ReadWrite.All | Læs og skriv alle hændelser |
| Uddelegeret (arbejds- eller skolekonto) | Incident.Read | Læs hændelser |
| Uddelegeret (arbejds- eller skolekonto) | Incident.ReadWrite | Læs og skriv hændelser |
Bemærk!
Når du henter et token ved hjælp af brugerlegitimationsoplysninger:
- Brugeren skal have visningstilladelse til hændelser på portalen.
- Svaret omfatter kun hændelser, som brugeren er eksponeret for.
HTTP-anmodning
GET /api/incidents
Anmodningsheadere
| Navn | Type | Beskrivelse |
|---|---|---|
| Tilladelse | String | Ihændehaver {token}. Påkrævet |
Brødtekst i anmodning
Ingen.
Svar
Hvis det lykkes, returnerer 200 OKdenne metode og en liste over hændelser i svarbrødteksten.
Skematilknytning
Metadata for hændelse
| Feltnavn | Beskrivelse | Eksempelværdi |
|---|---|---|
| incidentId | Entydigt id, der repræsenterer hændelsen | 924565 |
| redirectIncidentId | Udfyldes kun, hvis en hændelse grupperes sammen med en anden hændelse som en del af hændelsesbehandlingslogikken. | 924569 |
| incidentName | Strengværdi tilgængelig for hver hændelse. | Ransomware-aktivitet |
| createdTime | Tidspunkt, hvor hændelsen først blev oprettet. | 2020-09-06T14:46:57.0733333Z |
| lastUpdateTime | Tidspunkt for seneste opdatering af hændelsen på backend. Dette felt kan bruges, når du angiver anmodningsparameteren for det tidsinterval, hvor hændelser hentes. |
2020-09-06T14:46:57.29Z |
| tildelt til | Ejer af hændelsen eller null , hvis der ikke er tildelt nogen ejer. | secop2@contoso.com |
| Klassificering | Specifikationen for hændelsen. Egenskabsværdierne er: Unknown, FalsePositive, TruePositive | Unknown |
| Bestemmelse | Angiver afgørelsen af hændelsen. Egenskabsværdierne er: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | Ikke tilgængelig |
| detectionSource | Angiver registreringskilden. | Defender for Cloud Apps |
| Status | Kategoriser hændelser (som Aktive eller Løst). Det kan hjælpe dig med at organisere og administrere dit svar på hændelser. | Aktive |
| Sværhedsgraden | Angiver den mulige indvirkning på aktiver. Jo højere alvorsgrad, jo større er indvirkningen. Elementer med højere alvorsgrad kræver typisk den mest øjeblikkelige opmærksomhed. En af følgende værdier: Informational, Low, *Medium og High. |
Middel |
| Tags | Matrix af brugerdefinerede mærker, der er knyttet til en hændelse, f.eks. for at markere en gruppe af hændelser med en fælles egenskab. | [] |
| Kommentarer | Matrix af kommentarer, der er oprettet af secops, når hændelsen administreres, f.eks. yderligere oplysninger om klassificeringsvalget. | [] |
| Indberetninger | Matrix, der indeholder alle de beskeder, der er relateret til hændelsen, samt andre oplysninger, f.eks. alvorsgrad, enheder, der var involveret i beskeden, og kilden til beskederne. | [] (se detaljer om beskedfelter nedenfor) |
Metadata for beskeder
| Feltnavn | Beskrivelse | Eksempelværdi |
|---|---|---|
| alertId | Entydigt id, der repræsenterer beskeden | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| incidentId | Entydigt id, der repræsenterer den hændelse, som denne besked er knyttet til | 924565 |
| serviceSource | Den tjeneste, som beskeden stammer fra, f.eks. Microsoft Defender for Endpoint, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity eller Microsoft Defender for Office 365. | MicrosoftCloudAppSecurity |
| creationTime | Tidspunkt, hvor beskeden første gang blev oprettet. | 2020-09-06T14:46:55.7182276Z |
| lastUpdatedTime | Det tidspunkt, hvor beskeden sidst blev opdateret i backend. | 2020-09-06T14:46:57.2433333Z |
| resolvedTime | Tidspunkt, hvor beskeden blev løst. | 2020-09-10T05:22:59Z |
| firstActivity | Det tidspunkt, hvor beskeden første gang rapporterede, at aktiviteten blev opdateret i backend. | 2020-09-04T05:22:59Z |
| Titel | Kort identificerende strengværdi, der er tilgængelig for hver besked. | Ransomware-aktivitet |
| Beskrivelse | Strengværdi, der beskriver hver besked. | Brugeren Test User2 (testUser2@contoso.com) manipulerede 99 filer med flere udvidelser, der slutter med den ualmindelige udvidelse herunterladen. Dette er et usædvanligt antal filmanipulationer og er tegn på et potentielt ransomware-angreb. |
| Kategori | Visuelt og numerisk billede af, hvor langt angrebet er nået langs kill-kæden. Justeret i forhold til MITRE ATT&CK-strukturen™. | Indvirkning |
| Status | Kategoriser beskeder (som Ny, Aktiv eller Løst). Det kan hjælpe dig med at organisere og administrere dit svar på beskeder. | Nye |
| Sværhedsgraden | Angiver den mulige indvirkning på aktiver. Jo højere alvorsgrad, jo større er indvirkningen. Elementer med højere alvorsgrad kræver typisk den mest øjeblikkelige opmærksomhed. En af følgende værdier: Informational, Low, Medium og High. |
Middel |
| investigationId | Det automatiserede undersøgelses-id, der udløses af denne besked. | 1234 |
| investigationState | Oplysninger om undersøgelsens aktuelle status. En af følgende værdier: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | Ikke-understøttetAlertType |
| Klassificering | Specifikationen for hændelsen. Egenskabsværdierne er: Ukendt, FalsePositive, TruePositive eller null | Unknown |
| Bestemmelse | Angiver afgørelsen af hændelsen. Egenskabsværdierne er: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other eller null | Apt |
| tildelt til | Ejer af hændelsen eller null , hvis der ikke er tildelt nogen ejer. | secop2@contoso.com |
| actorName | Den aktivitetsgruppe, der er knyttet til denne besked, hvis der er nogen. | BOR |
| threatFamilyName | Trusselsfamilie, der er knyttet til denne besked. | Null |
| mitreTechniques | Angrebsteknikkerne er i overensstemmelse med MITRE ATT-&CK-strukturen™. | [] |
| Enheder | Alle enheder, hvor der blev sendt beskeder relateret til hændelsen. | [] (se detaljer om objektfelter nedenfor) |
Enhedsformat
| Feltnavn | Beskrivelse | Eksempelværdi |
|---|---|---|
| Deviceid | Enheds-id'et som angivet i Microsoft Defender for Endpoint. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
| aadDeviceId | Enheds-id'et som angivet i Microsoft Entra ID. Kun tilgængelig for domænetilsluttede enheder. | Null |
| deviceDnsName | Det fuldt kvalificerede domænenavn for enheden. | user5cx.middleeast.corp.contoso.com |
| osPlatform | Den OS-platform, som enheden kører. | WindowsServer2016 |
| osBuild | Buildversionen for det operativsystem, som enheden kører. | 14393 |
| rbacGroupName | Den rollebaserede adgangskontrolgruppe (RBAC), der er knyttet til enheden. | WDATP-Ring0 |
| firstSeen | Tidspunkt, hvor enheden først blev set. | 2020-02-06T14:16:01.9330135Z |
| healthStatus | Enhedens tilstandstilstand. | Aktive |
| riskScore | Risikoscore for enheden. | Høj |
| Enheder | Alle enheder, der er blevet identificeret til at være en del af eller relateret til en given besked. | [] (se detaljer om objektfelter nedenfor) |
Objektformat
| Feltnavn | Beskrivelse | Eksempelværdi |
|---|---|---|
| entityType | Enheder, der er blevet identificeret til at være en del af eller relateret til en given besked. Egenskabsværdierne er: User, Ip, URL, File, Process, MailBox, MailMessage, MailCluster, Registry |
Bruger |
| sha1 | Tilgængelig, hvis entityType er File. Filhash for beskeder, der er knyttet til en fil eller proces. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
| sha256 | Tilgængelig, hvis entityType er File. Filhash for beskeder, der er knyttet til en fil eller proces. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| Filnavn | Tilgængelig, hvis entityType er File. Filnavnet for beskeder, der er knyttet til en fil eller proces |
Detector.UnitTests.dll |
| filePath | Tilgængelig, hvis entityType er File. Filstien til beskeder, der er knyttet til en fil eller proces |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| processId | Tilgængelig, hvis entityType er Proces. | 24348 |
| processCommandLine | Tilgængelig, hvis entityType er Proces. | "Filen er klar til at Download_1911150169.exe" |
| processCreationTime | Tilgængelig, hvis entityType er Proces. | 2020-07-18T03:25:38.5269993Z |
| parentProcessId | Tilgængelig, hvis entityType er Proces. | 16840 |
| parentProcessCreationTime | Tilgængelig, hvis entityType er Proces. | 2020-07-18T02:12:32.8616797Z |
| Ipadresse | Tilgængelig, hvis entityType er Ip. IP-adresse for beskeder, der er knyttet til netværkshændelser, f.eks . Kommunikation til en skadelig netværksdestination. |
62.216.203.204 |
| Url | Tilgængelig, hvis entityType er URL-adresse. URL-adresse for beskeder, der er knyttet til netværkshændelser, f.eks . Kommunikation til en skadelig netværksdestination. |
down.esales360.cn |
| accountName | Tilgængelig, hvis entityType er User. | testUser2 |
| Domainname | Tilgængelig, hvis entityType er User. | europe.corp.contoso |
| userSid | Tilgængelig, hvis entityType er User. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| aadUserId | Tilgængelig, hvis entityType er User. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| userPrincipalName | Tilgængelig, hvis entityType er User/MailBox/MailMessage. | testUser2@contoso.com |
| mailboxDisplayName | Tilgængelig, hvis entityType er MailBox. | test User2 |
| mailboxAddress | Tilgængelig, hvis entityType er User/MailBox/MailMessage. | testUser2@contoso.com |
| clusterBy | Tilgængelig, hvis entityType er MailCluster. | Emne; P2SenderDomain; Contenttype |
| Afsender | Tilgængelig, hvis entityType er User/MailBox/MailMessage. | user.abc@mail.contoso.co.in |
| Modtager | Tilgængelig, hvis entityType er MailMessage. | testUser2@contoso.com |
| Emne | Tilgængelig, hvis entityType er MailMessage. | [EKSTERN] Opmærksomhed |
| deliveryAction | Tilgængelig, hvis entityType er MailMessage. | Leveret |
| securityGroupId | Tilgængelig, hvis entityType er SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| securityGroupName | Tilgængelig, hvis entityType er SecurityGroup. | Netværkskonfigurationsoperatorer |
| registryHive | Tilgængelig, hvis entityType er i registreringsdatabasen. | HKEY_LOCAL_MACHINE |
| registryKey | Tilgængelig, hvis entityType er i registreringsdatabasen. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| registryValueType | Tilgængelig, hvis entityType er i registreringsdatabasen. | String |
| registryValue | Tilgængelig, hvis entityType er i registreringsdatabasen. | 31-00-00-00 |
| Deviceid | Id'et for den enhed, der er relateret til enheden, hvis der er nogen. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
Eksempel
Eksempel på anmodning
GET https://api.security.microsoft.com/api/incidents
Svareksempel
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Relaterede artikler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.