Teilen über


Indikatorressourcentyp

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie bitte die URIs, die in Microsoft Defender for Endpoint für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com
  • Weitere Informationen finden Sie auf der entsprechenden Seite Indikatoren im Portal.
Methode Rückgabetyp Beschreibung
Indikatoren auflisten Indikator Sammlung Indikatorentitäten auflisten.
Indikator einreichen Indikator Übermitteln oder Aktualisieren der Indikatorentität .
Importindikatoren Indikator Sammlung Übermitteln oder Aktualisieren von Indikatorenentitäten.
Indikator löschen Kein Inhalt Löscht die Indikatorentität .

Eigenschaften

Eigenschaft Typ Beschreibung
id String Identität der Indikatorentität .
indicatorValue String Der Wert des Indikators.
indicatorType Enum Typ des Indikators. Mögliche Werte sind: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainNameund Url.
Anwendung String Die dem Indikator zugeordnete Anwendung.
Aktion Enum Die Aktion, die ausgeführt wird, wenn der Indikator im organization erkannt wird. Mögliche Werte sind: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediateund Allowed.
externalID String Id, die der Kunde in der Anforderung für eine benutzerdefinierte Korrelation übermitteln kann.
sourceType Enum User für den Fall, dass der Indikator von einem Benutzer (z. B. über das Portal) AadApp erstellt wurde, für den Fall, dass er mithilfe einer automatisierten Anwendung über die API übermittelt wurde.
createdBySource string Der Name des Benutzers/der Anwendung, der den Indikator übermittelt hat.
createdBy Zeichenfolge Eindeutige Identität des Benutzers/der Anwendung, der den Indikator übermittelt hat.
lastUpdatedBy String Identität des Benutzers/der Anwendung, der den Indikator zuletzt aktualisiert hat.
creationTimeDateTimeUtc DateTimeOffset Das Datum und die Uhrzeit der Erstellung des Indikators.
expirationTime DateTimeOffset Die Ablaufzeit des Indikators.
lastUpdateTime DateTimeOffset Der Zeitpunkt, zu dem der Indikator zuletzt aktualisiert wurde.
Schweregrad Enum Der Schweregrad des Indikators. Mögliche Werte sind: Informational, Low, Medium, und High.
title String Indikatortitel.
description String Beschreibung des Indikators.
recommendedActions String Empfohlene Aktionen für den Indikator.
rbacGroupNames Liste der Zeichenfolgen RBAC-Gerätegruppennamen, bei denen der Indikator verfügbar gemacht und aktiv ist. Leere Liste für den Fall, dass sie für alle Geräte verfügbar gemacht wird.
rbacGroupIds Liste der Zeichenfolgen RBAC-Gerätegruppen-IDs, bei denen der Indikator verfügbar gemacht und aktiv ist. Leere Liste für den Fall, dass sie für alle Geräte verfügbar gemacht wird.
generateAlert Enum True , wenn die Warnungsgenerierung erforderlich ist, False , wenn dieser Indikator keine Warnung generieren soll.

Indikatortypen

Die von der API unterstützten Indikatoraktionstypen sind:

  • Allowed
  • Überwachung
  • Blockieren
  • BlockAndRemediate
  • Warnung (nur Defender for Cloud Apps)

Weitere Informationen zur Beschreibung der Antwortaktionstypen finden Sie unter Erstellen von Indikatoren.

Hinweis

Die vorherigen Antwortaktionen (AlertAndBlock und Alert) werden bis Januar 2022 unterstützt. Nach diesem Datum müssen alle Kunden einen der in diesem Abschnitt aufgeführten Aktionstypen verwenden.

JSON-Darstellung

{
    "id": "994",
    "indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
    "indicatorType": "FileSha256",
    "action": "AlertAndBlock",
    "application": null,
    "source": "user@contoso.onmicrosoft.com",
    "sourceType": "User",
    "createdBy": "user@contoso.onmicrosoft.com",
    "severity": "Informational",
    "title": "Michael test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
    "expirationTime": null,
    "lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": ["team1"]
}

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.