Teilen über


Api zum Importieren von Indikatoren

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie die URIs, die unter Microsoft Defender für Endpunkt für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-Beschreibung

Sendet oder aktualisiert einen Batch von Indikatorentitäten .

CIDR-Notation für IP-Adressen wird nicht unterstützt.

Begrenzungen

  1. Die Ratenbeschränkungen für diese API sind 30 Aufrufe pro Minute.
  2. Es gibt einen Grenzwert von 15.000 aktiven Indikatoren pro Mandant.
  3. Die maximale Batchgröße für einen API-Aufruf beträgt 500.

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Erste Schritte.

Berechtigungstyp Berechtigung Anzeigename der Berechtigung
App Ti.ReadWrite Read and write Indicators
App Ti.ReadWrite.All Read and write All Indicators
Delegiert (Geschäfts-, Schul- oder Unikonto) Ti.ReadWrite Read and write Indicators

HTTP-Anforderung

POST https://api.securitycenter.microsoft.com/api/indicators/import

Anforderungsheader

Name Typ Beschreibung
Authorization Zeichenfolge Bearer {token}. Erforderlich.
Content-Type string application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext ein JSON-Objekt mit den folgenden Parametern an:

Parameter Typ Beschreibung
Indikatoren Indikator auflisten<> Liste der Indikatoren. Erforderlich

Antwort

  • Wenn die Methode erfolgreich verläuft, wird der Antwortcode 200 – OK mit einer Liste der Importergebnisse pro Indikator zurückgegeben. Weitere Informationen finden Sie im folgenden Beispiel.
  • Wenn nicht erfolgreich: Diese Methode gibt 400 – Ungültige Anforderung zurück. Eine fehlerhafte Anforderung weist in der Regel auf einen falschen Text hin.

Beispiel

Anforderungsbeispiel

Hier sehen Sie ein Beispiel für die Anforderung.

POST https://api.securitycenter.microsoft.com/api/indicators/import
{
    "Indicators":
    [
        {
            "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "title": "demo",
            "application": "demo-test",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Informational",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": ["group1", "group2"]
        },
        {
            "indicatorValue": "2233223322332233223322332233223322332233223322332233223322332222",
            "indicatorType": "FileSha256",
            "title": "demo2",
            "application": "demo-test2",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Medium",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": []
        }
    ]
}

Anforderungsbeispiel

Hier ist ein Beispiel für die Antwort.

{
    "value": [
        {
            "id": "2841",
            "indicator": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "isFailed": false,
            "failureReason": null
        },
        {
            "id": "2842",
            "indicator": "2233223322332233223322332233223322332233223322332233223322332222",
            "isFailed": false,
            "failureReason": null
        }
    ]
}

Verwandter Artikel

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.