Indikatorressourcentyp
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Hinweis
Wenn Sie ein US Government-Kunde sind, verwenden Sie bitte die URIs, die in Microsoft Defender for Endpoint für US Government-Kunden aufgeführt sind.
Tipp
Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- Weitere Informationen finden Sie auf der entsprechenden Seite Indikatoren im Portal.
Methode | Rückgabetyp | Beschreibung |
---|---|---|
Indikatoren auflisten | Indikator Sammlung | Indikatorentitäten auflisten. |
Indikator einreichen | Indikator | Übermitteln oder Aktualisieren der Indikatorentität . |
Importindikatoren | Indikator Sammlung | Übermitteln oder Aktualisieren von Indikatorenentitäten. |
Indikator löschen | Kein Inhalt | Löscht die Indikatorentität . |
Eigenschaften
Eigenschaft | Typ | Beschreibung |
---|---|---|
id | String | Identität der Indikatorentität . |
indicatorValue | String | Der Wert des Indikators. |
indicatorType | Enum | Typ des Indikators. Mögliche Werte sind: FileSha1 , FileSha256 , FileMd5 , CertificateThumbprint , IpAddress , DomainName und Url . |
Anwendung | String | Die dem Indikator zugeordnete Anwendung. |
Aktion | Enum | Die Aktion, die ausgeführt wird, wenn der Indikator im organization erkannt wird. Mögliche Werte sind: Warn , Block , Audit , Alert , AlertAndBlock , BlockAndRemediate und Allowed . |
externalID | String | Id, die der Kunde in der Anforderung für eine benutzerdefinierte Korrelation übermitteln kann. |
sourceType | Enum |
User für den Fall, dass der Indikator von einem Benutzer (z. B. über das Portal) AadApp erstellt wurde, für den Fall, dass er mithilfe einer automatisierten Anwendung über die API übermittelt wurde. |
createdBySource | string | Der Name des Benutzers/der Anwendung, der den Indikator übermittelt hat. |
createdBy | Zeichenfolge | Eindeutige Identität des Benutzers/der Anwendung, der den Indikator übermittelt hat. |
lastUpdatedBy | String | Identität des Benutzers/der Anwendung, der den Indikator zuletzt aktualisiert hat. |
creationTimeDateTimeUtc | DateTimeOffset | Das Datum und die Uhrzeit der Erstellung des Indikators. |
expirationTime | DateTimeOffset | Die Ablaufzeit des Indikators. |
lastUpdateTime | DateTimeOffset | Der Zeitpunkt, zu dem der Indikator zuletzt aktualisiert wurde. |
Schweregrad | Enum | Der Schweregrad des Indikators. Mögliche Werte sind: Informational , Low , Medium , und High . |
title | String | Indikatortitel. |
description | String | Beschreibung des Indikators. |
recommendedActions | String | Empfohlene Aktionen für den Indikator. |
rbacGroupNames | Liste der Zeichenfolgen | RBAC-Gerätegruppennamen, bei denen der Indikator verfügbar gemacht und aktiv ist. Leere Liste für den Fall, dass sie für alle Geräte verfügbar gemacht wird. |
rbacGroupIds | Liste der Zeichenfolgen | RBAC-Gerätegruppen-IDs, bei denen der Indikator verfügbar gemacht und aktiv ist. Leere Liste für den Fall, dass sie für alle Geräte verfügbar gemacht wird. |
generateAlert | Enum | True , wenn die Warnungsgenerierung erforderlich ist, False , wenn dieser Indikator keine Warnung generieren soll. |
Indikatortypen
Die von der API unterstützten Indikatoraktionstypen sind:
- Allowed
- Überwachung
- Blockieren
- BlockAndRemediate
- Warnung (nur Defender for Cloud Apps)
Weitere Informationen zur Beschreibung der Antwortaktionstypen finden Sie unter Erstellen von Indikatoren.
Hinweis
Die vorherigen Antwortaktionen (AlertAndBlock und Alert) werden bis Januar 2022 unterstützt. Nach diesem Datum müssen alle Kunden einen der in diesem Abschnitt aufgeführten Aktionstypen verwenden.
JSON-Darstellung
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
Siehe auch
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.