Share via

Ressourcetype for indikator

  • Artikel

Gælder for:

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Bemærk!

Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for us Government-kunder.

Tip

For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
Metode Returtype Beskrivelse
Angiv indikatorer Indikator Samling Listeindikatorobjekter.
Indsend indikator Indikator Send eller opdater indikatorobjekt .
Importér indikatorer Indikator Samling Indsend eller opdater indikatorer .
Slet Indikator Intet indhold Sletter indikatorobjektet .

Egenskaber

Ejendom Type Beskrivelse
Id String Id for indikatorenheden .
indicatorValue String Indikatorens værdi.
indicatorType Enum Indikatorens type. De mulige værdier er: FileSha1, FileSha256, FileMd5, CertificateThumbprint, DomainNameIpAddress, og Url.
Program String Det program, der er knyttet til indikatoren.
Handling Enum Den handling, der udføres, hvis indikatoren registreres i organisationen. De mulige værdier er: Warn, Block, Audit, Alert, BlockAndRemediateAlertAndBlock, og Allowed.
externalID String Id, som kunden kan sende i anmodningen om brugerdefineret korrelation.
sourceType Enum User hvis den indikator, der er oprettet af en bruger (f.eks. fra portalen), AadApp hvis den er sendt ved hjælp af et automatiseret program via API'en.
createdBySource Streng Navnet på den bruger/det program, der sendte indikatoren.
createdBy String Entydig identitet for den bruger/det program, der sendte indikatoren.
lastUpdatedBy String Identiteten af den bruger/det program, der sidst opdaterede indikatoren.
creationTimeDateTimeUtc DateTimeOffset Den dato og det klokkeslæt, hvor indikatoren blev oprettet.
expirationTime DateTimeOffset Indikatorens udløbstid.
lastUpdateTime DateTimeOffset Sidste gang indikatoren blev opdateret.
Sværhedsgraden Enum Indikatorens alvorsgrad. De mulige værdier er: Informational, Low, Mediumog High.
Titel String Indikatortitel.
Beskrivelse String Beskrivelse af indikatoren.
recommendedActions String Anbefalede handlinger for indikatoren.
rbacGroupNames Liste over strenge RBAC-enhedsgruppenavne, hvor indikatoren er synlig og aktiv. Tom liste, hvis den vises for alle enheder.
rbacGroupIds Liste over strenge RBAC-enhedsgruppe-id'er, hvor indikatoren er synlig og aktiv. Tom liste, hvis den vises for alle enheder.
generateAlert Enum Sand , hvis generering af beskeder er påkrævet. Falsk , hvis denne indikator ikke skal generere en besked.

Indikatortyper

De indikatorhandlingstyper, der understøttes af API'en, er:

  • Tilladt
  • Revision
  • Bloker
  • BlockAndRemediate
  • Advar (kun Defender for Cloud Apps)

Du kan få flere oplysninger om beskrivelsen af svarhandlingstyperne under Create indikatorer.

Bemærk!

De tidligere svarhandlinger (AlertAndBlock og Alert) understøttes indtil januar 2022. Efter denne dato skal alle kunder bruge en af de handlingstyper, der er angivet i dette afsnit.

Json-repræsentation

{
    "id": "994",
    "indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
    "indicatorType": "FileSha256",
    "action": "AlertAndBlock",
    "application": null,
    "source": "user@contoso.onmicrosoft.com",
    "sourceType": "User",
    "createdBy": "user@contoso.onmicrosoft.com",
    "severity": "Informational",
    "title": "Michael test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
    "expirationTime": null,
    "lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": ["team1"]
}

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.