Übermitteln oder Aktualisieren der Indikator-API
Gilt für:
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Hinweis
Wenn Sie ein US Government-Kunde sind, verwenden Sie die URIs, die unter Microsoft Defender für Endpunkt für US Government-Kunden aufgeführt sind.
Tipp
Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-Beschreibung
Übermittelt oder aktualisiert die neue Indikatorentität .
CIDR-Notation für IP-Adressen wird nicht unterstützt.
Begrenzungen
- Die Ratenbeschränkungen für diese API sind 100 Aufrufe pro Minute und 1.500 Aufrufe pro Stunde.
- Es gibt einen Grenzwert von 15.000 aktiven Indikatoren pro Mandant.
Berechtigungen
Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Erste Schritte.
| Berechtigungstyp | Berechtigung | Anzeigename der Berechtigung |
|---|---|---|
| App | Ti.ReadWrite | Read and write Indicators |
| App | Ti.ReadWrite.All | Read and write All Indicators |
| Delegiert (Geschäfts-, Schul- oder Unikonto) | Ti.ReadWrite | Read and write Indicators |
HTTP-Anforderung
POST https://api.securitycenter.microsoft.com/api/indicators
Anforderungsheader
| Name | Typ | Beschreibung |
|---|---|---|
| Authorization | Zeichenfolge | Bearer {token}. Erforderlich. |
| Content-Type | string | application/json. Erforderlich. |
Anforderungstext
Geben Sie im Anforderungstext ein JSON-Objekt mit den folgenden Parametern an:
| Parameter | Typ | Beschreibung |
|---|---|---|
| indicatorValue | Zeichenfolge | Identität der Indikatorentität . Erforderlich |
| indicatorType | Enum | Typ des Indikators. Mögliche Werte sind: FileSha1, FileMd5, CertificateThumbprint, FileSha256, IpAddress, DomainNameund Url.
Erforderlich |
| Aktion | Enum | Die Aktion, die ausgeführt wird, wenn der Indikator in der Organisation erkannt wird. Mögliche Werte sind: Alert, Warn, Block, Audit, BlockAndRemediate, AlertAndBlockund Allowed.
Erforderlich. Der GenerateAlert Parameter muss auf TRUE festgelegt werden, wenn eine Aktion mit Auditerstellt wird. |
| Anwendung | Zeichenfolge | Die dem Indikator zugeordnete Anwendung. Dieses Feld funktioniert nur für neue Indikatoren. Der Wert für einen vorhandenen Indikator wird nicht aktualisiert. Optional |
| title | String | Indikatorwarnungstitel. Erforderlich |
| description | Zeichenfolge | Beschreibung des Indikators. Erforderlich |
| expirationTime | DateTimeOffset | Die Ablaufzeit des Indikators. Optional |
| Schweregrad | Enum | Der Schweregrad des Indikators. Mögliche Werte sind: Informational, Low, Medium, und High.
Optional |
| recommendedActions | Zeichenfolge | Empfohlene Aktionen für TI-Indikatorwarnungen. Optional |
| rbacGroupNames | Zeichenfolge | Durch Trennzeichen getrennte Liste von RBAC-Gruppennamen, auf die der Indikator angewendet wird. Optional |
| educateUrl | Zeichenfolge | Benutzerdefinierte Benachrichtigungs-/Support-URL. Unterstützt für die Aktionstypen Blockieren und Warnen für URL-Indikatoren. Optional |
| generateAlert | Enum | True , wenn die Warnungsgenerierung erforderlich ist, False , wenn dieser Indikator keine Warnung generieren soll. |
Antwort
- Bei erfolgreicher Ausführung gibt die Methode den Antwortcode 200 – OK und die erstellte/aktualisierte Indikatorentität im Antworttext zurück.
- Wenn nicht erfolgreich: Diese Methode gibt 400 – Ungültige Anforderung zurück. Eine fehlerhafte Anforderung weist in der Regel auf einen falschen Text hin.
Beispiel
Anforderung
Hier sehen Sie ein Beispiel für die Anforderung.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Verwandter Artikel
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.