Auflisten der Incidents-API in Microsoft Defender XDR
Gilt für:
Hinweis
Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
API-Beschreibung
Mit der API zum Auflisten von Incidents können Sie Incidents sortieren, um eine informierte Cybersicherheitsantwort zu erstellen. Es wird eine Sammlung von Vorfällen bereitgestellt, die in Ihrem Netzwerk innerhalb des Zeitraums, den Sie in Ihrer Aufbewahrungsrichtlinie für die Umgebung angegeben haben, angezeigt wurden. Die neuesten Vorfälle werden oben in der Liste angezeigt. Jeder Incident enthält ein Array verwandter Warnungen und deren zugehörige Entitäten.
Die API unterstützt die folgenden OData-Operatoren :
$filterfür dielastUpdateTimeEigenschaften ,createdTime,statusundassignedTo$top, mit einem Höchstwert von 100$skip
Begrenzungen
- Die maximale Seitengröße beträgt 100 Incidents.
- Die maximale Anforderungsrate beträgt 50 Anrufe pro Minute und 1500 Anrufe pro Stunde.
Berechtigungen
Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Zugreifen auf Microsoft Defender XDR-APIs.
| Berechtigungstyp | Berechtigung | Anzeigename der Berechtigung |
|---|---|---|
| App | Incident.Read.All | Alle Vorfälle lesen |
| App | Incident.ReadWrite.All | Lesen und Schreiben aller Incidents |
| Delegiert (Geschäfts-, Schul- oder Unikonto) | Incident.Read | Lesen von Vorfällen |
| Delegiert (Geschäfts-, Schul- oder Unikonto) | Incident.ReadWrite | Lese- und Schreibvorfälle |
Hinweis
Beim Abrufen eines Tokens mit Benutzeranmeldeinformationen:
- Der Benutzer muss über die Berechtigung "Anzeigen" für Incidents im Portal verfügen.
- Die Antwort umfasst nur Incidents, denen der Benutzer ausgesetzt ist.
HTTP-Anforderung
GET /api/incidents
Anforderungsheader
| Name | Typ | Beschreibung |
|---|---|---|
| Authorization | String | Bearer {token}. Erforderlich |
Anforderungstext
Keine
Antwort
Bei erfolgreicher Ausführung gibt die Methode und eine Liste der Vorfälle im Antworttext zurück200 OK.
Schemazuordnung
Incidentmetadaten
| Feldname | Beschreibung | Beispielwert |
|---|---|---|
| incidentId | Eindeutiger Bezeichner zur Darstellung des Incidents | 924565 |
| redirectIncidentId | Wird nur für den Fall aufgefüllt, dass ein Incident im Rahmen der Incidentverarbeitungslogik mit einem anderen Incident gruppiert wird. | 924569 |
| incidentName | Zeichenfolgenwert, der für jeden Incident verfügbar ist. | Ransomware-Aktivität |
| createdTime | Zeitpunkt, zu dem der Vorfall zum ersten Mal erstellt wurde. | 2020-09-06T14:46:57.0733333Z |
| lastUpdateTime | Zeitpunkt, zu dem der Incident zuletzt auf dem Back-End aktualisiert wurde. Dieses Feld kann verwendet werden, wenn Sie den Anforderungsparameter für den Zeitraum festlegen, in dem Incidents abgerufen werden. |
2020-09-06T14:46:57.29Z |
| assignedTo | Besitzer des Incidents oder NULL , wenn kein Besitzer zugewiesen ist. | secop2@contoso.com |
| classification | Die Spezifikation für den Incident. Die Eigenschaftswerte sind: Unknown, FalsePositive, TruePositive | Unbekannt |
| Bestimmung | Gibt die Ermittlung des Incidents an. Die Eigenschaftswerte sind: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | Nicht verfügbar |
| detectionSource | Gibt die Quelle der Erkennung an. | Defender for Cloud Apps |
| status | Kategorisieren von Vorfällen (als aktiv oder gelöst). Es kann Ihnen helfen, Ihre Reaktion auf Vorfälle zu organisieren und zu verwalten. | Aktiv |
| Schweregrad | Gibt die möglichen Auswirkungen auf Ressourcen an. Je höher der Schweregrad, desto größer die Auswirkung. Elemente mit höherem Schweregrad erfordern in der Regel die unmittelbarste Aufmerksamkeit. Einer der folgenden Werte: Informativ, Niedrig, *Mittel und Hoch. |
Mittel |
| tags | Array von benutzerdefinierten Tags, die einem Incident zugeordnet sind, z. B. um eine Gruppe von Incidents mit einem gemeinsamen Merkmal zu kennzeichnen. | [] |
| Kommentare | Array von Kommentaren, die von Secops beim Verwalten des Incidents erstellt werden, z. B. zusätzliche Informationen zur Klassifizierungsauswahl. | [] |
| Warnungen | Array, das alle Warnungen im Zusammenhang mit dem Incident sowie weitere Informationen wie Schweregrad, An der Warnung beteiligte Entitäten und die Quelle der Warnungen enthält. | [] (siehe Details zu Warnungsfeldern unten) |
Warnungsmetadaten
| Feldname | Beschreibung | Beispielwert |
|---|---|---|
| alertId | Eindeutiger Bezeichner zur Darstellung der Warnung | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| incidentId | Eindeutiger Bezeichner zur Darstellung des Incidents, dem diese Warnung zugeordnet ist | 924565 |
| serviceSource | Dienst, von dem die Warnung stammt, z. B. Microsoft Defender for Endpoint, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity oder Microsoft Defender for Office 365. | MicrosoftCloudAppSecurity |
| Creationtime | Zeitpunkt, zu dem die Warnung zum ersten Mal erstellt wurde. | 2020-09-06T14:46:55.7182276Z |
| lastUpdatedTime | Zeitpunkt, zu dem die Warnung zuletzt am Back-End aktualisiert wurde. | 2020-09-06T14:46:57.2433333Z |
| resolvedTime | Zeitpunkt, zu dem die Warnung aufgelöst wurde. | 2020-09-10T05:22:59Z |
| firstActivity | Zeitpunkt, zu dem die Warnung zum ersten Mal gemeldet hat, dass die Aktivität im Back-End aktualisiert wurde. | 2020-09-04T05:22:59Z |
| title | Kurze Identifizierung von Zeichenfolgenwerten, die für jede Warnung verfügbar sind. | Ransomware-Aktivität |
| description | Zeichenfolgenwert, der jede Warnung beschreibt. | Der Benutzer Test User2 (testUser2@contoso.com) hat 99 Dateien mit mehreren Erweiterungen bearbeitet, die mit der ungewöhnlichen Erweiterung herunterladen enden. Dies ist eine ungewöhnliche Anzahl von Dateimanipulationen und deutet auf einen potenziellen Ransomware-Angriff hin. |
| category | Visuelle und numerische Ansicht, wie weit der Angriff entlang der Kill Chain fortgeschritten ist. Ausgerichtet am MITRE ATT&CK-Framework™. | Auswirkung |
| status | Kategorisieren von Warnungen (als Neu, Aktiv oder Aufgelöst). Es kann Ihnen helfen, Ihre Reaktion auf Warnungen zu organisieren und zu verwalten. | Neu |
| Schweregrad | Gibt die möglichen Auswirkungen auf Ressourcen an. Je höher der Schweregrad, desto größer die Auswirkung. Elemente mit höherem Schweregrad erfordern in der Regel die unmittelbarste Aufmerksamkeit. Einer der folgenden Werte: Informativ, Niedrig, Mittel und Hoch. |
Mittel |
| investigationId | Die durch diese Warnung ausgelöste ID der automatisierten Untersuchung. | 1234 |
| investigationState | Informationen zum aktuellen status der Untersuchung. Einer der folgenden Werte: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | UnsupportedAlertType |
| classification | Die Spezifikation für den Incident. Die Eigenschaftswerte sind: Unknown, FalsePositive, TruePositive oder NULL | Unbekannt |
| Bestimmung | Gibt die Ermittlung des Incidents an. Die Eigenschaftswerte sind: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other oder NULL | Apt |
| assignedTo | Besitzer des Incidents oder NULL , wenn kein Besitzer zugewiesen ist. | secop2@contoso.com |
| actorName | Die Aktivitätsgruppe, falls vorhanden, die dieser Warnung zugeordnet ist. | BOR |
| threatFamilyName | Dieser Warnung zugeordnete Bedrohungsfamilie. | null |
| mitreTechniques | Die Angriffstechniken, die am MITRE ATT&CK-Framework™ ausgerichtet sind. | [] |
| Geräte | Alle Geräte, auf denen Warnungen im Zusammenhang mit dem Incident gesendet wurden. | [] (siehe Details zu Entitätsfeldern unten) |
Geräteformat
| Feldname | Beschreibung | Beispielwert |
|---|---|---|
| DeviceId | Die in Microsoft Defender for Endpoint angegebene Geräte-ID. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
| aadDeviceId | Die in Microsoft Entra ID angegebene Geräte-ID. Nur für in die Domäne eingebundene Geräte verfügbar. | null |
| deviceDnsName | Der vollqualifizierte Domänenname für das Gerät. | user5cx.middleeast.corp.contoso.com |
| osPlatform | Die Betriebssystemplattform, auf der das Gerät ausgeführt wird. | WindowsServer2016 |
| osBuild | Die Buildversion für das Betriebssystem, das auf dem Gerät ausgeführt wird. | 14393 |
| rbacGroupName | Die dem Gerät zugeordnete Gruppe der rollenbasierten Zugriffssteuerung (Role-Based Access Control , RBAC). | WDATP-Ring0 |
| firstSeen | Zeitpunkt, zu dem das Gerät zum ersten Mal gesehen wurde. | 2020-02-06T14:16:01.9330135Z |
| healthStatus | Der Integritätsstatus des Geräts. | Aktiv |
| riskScore | Die Risikobewertung für das Gerät. | Hoch |
| Entitäten | Alle Entitäten, die als Teil oder Bezug zu einer bestimmten Warnung identifiziert wurden. | [] (siehe Details zu Entitätsfeldern unten) |
Entitätsformat
| Feldname | Beschreibung | Beispielwert |
|---|---|---|
| Entitytype | Entitäten, die als Teil oder Bezug zu einer bestimmten Warnung identifiziert wurden. Die Eigenschaftenwerte sind: User, IP, URL, File, Process, MailBox, MailMessage, MailCluster, Registry |
Benutzer |
| sha1 | Verfügbar, wenn entityType file ist. Der Dateihash für Warnungen, die einer Datei oder einem Prozess zugeordnet sind. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
| sha256 | Verfügbar, wenn entityType file ist. Der Dateihash für Warnungen, die einer Datei oder einem Prozess zugeordnet sind. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| fileName | Verfügbar, wenn entityType file ist. Der Dateiname für Warnungen, die einer Datei oder einem Prozess zugeordnet sind |
Detector.UnitTests.dll |
| Filepath | Verfügbar, wenn entityType file ist. Der Dateipfad für Warnungen, die einer Datei oder einem Prozess zugeordnet sind |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| Processid | Verfügbar, wenn entityType den Wert Process aufweist. | 24348 |
| processCommandLine | Verfügbar, wenn entityType den Wert Process aufweist. | "Ihre Datei ist bereit zum Download_1911150169.exe" |
| processCreationTime | Verfügbar, wenn entityType den Wert Process aufweist. | 2020-07-18T03:25:38.52699993Z |
| parentProcessId | Verfügbar, wenn entityType den Wert Process aufweist. | 16840 |
| parentProcessCreationTime | Verfügbar, wenn entityType den Wert Process aufweist. | 2020-07-18T02:12:32.8616797Z |
| ipAddress | Verfügbar, wenn entityType ip ist. IP-Adresse für Warnungen im Zusammenhang mit Netzwerkereignissen, z. B. Kommunikation mit einem schädlichen Netzwerkziel. |
62.216.203.204 |
| url | Verfügbar, wenn entityType url ist. URL für Warnungen im Zusammenhang mit Netzwerkereignissen, z. B. Kommunikation mit einem schädlichen Netzwerkziel. |
down.esales360.cn |
| accountName | Verfügbar, wenn entityType den Wert User aufweist. | testUser2 |
| Domänname | Verfügbar, wenn entityType den Wert User aufweist. | europe.corp.contoso |
| userSid | Verfügbar, wenn entityType den Wert User aufweist. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| aadUserId | Verfügbar, wenn entityType den Wert User aufweist. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| userPrincipalName | Verfügbar, wenn entityType den Wert User/MailBox/MailMessage aufweist. | testUser2@contoso.com |
| mailboxDisplayName | Verfügbar, wenn entityType mailBox ist. | Testen von User2 |
| mailboxAddress | Verfügbar, wenn entityType den Wert User/MailBox/MailMessage aufweist. | testUser2@contoso.com |
| clusterBy | Verfügbar, wenn entityType mailCluster ist. | Betreff; P2SenderDomain; Contenttype |
| sender | Verfügbar, wenn entityType den Wert User/MailBox/MailMessage aufweist. | user.abc@mail.contoso.co.in |
| recipient | Verfügbar, wenn entityType mailMessage ist. | testUser2@contoso.com |
| subject | Verfügbar, wenn entityType mailMessage ist. | [EXTERNAL] Aufmerksamkeit |
| deliveryAction | Verfügbar, wenn entityType mailMessage ist. | Zugestellt |
| securityGroupId | Verfügbar, wenn entityType SecurityGroup ist. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| securityGroupName | Verfügbar, wenn entityType SecurityGroup ist. | Netzwerkkonfigurationsoperatoren |
| registryHive | Verfügbar, wenn entityType registry ist. | HKEY_LOCAL_MACHINE |
| Registrykey | Verfügbar, wenn entityType registry ist. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| registryValueType | Verfügbar, wenn entityType registry ist. | String |
| registryValue | Verfügbar, wenn entityType registry ist. | 31-00-00-00 |
| deviceId | Die ID des Geräts, falls vorhanden, im Zusammenhang mit der Entität. | 986e5df8b73dacd43c8917d17d17e523e76b13c75cd |
Beispiel
Anforderungsbeispiel
GET https://api.security.microsoft.com/api/incidents
Anforderungsbeispiel
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Verwandte Artikel
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.