Freigeben über


Indikatorressourcentyp

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie die URIs, die unter Microsoft Defender für Endpunkt für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com
  • Weitere Informationen finden Sie auf der entsprechenden Seite Indikatoren im Portal.
Methode Rückgabetyp Beschreibung
Indikatoren auflisten Indikator Sammlung Indikatorentitäten auflisten.
Indikator einreichen Indikator Übermitteln oder Aktualisieren der Indikatorentität .
Importindikatoren Indikator Sammlung Übermitteln oder Aktualisieren von Indikatorenentitäten.
Indikator löschen Kein Inhalt Löscht die Indikatorentität .

Eigenschaften

Eigenschaft Typ Beschreibung
id Zeichenfolge Identität der Indikatorentität .
indicatorValue Zeichenfolge Der Wert des Indikators.
indicatorType Enum Typ des Indikators. Mögliche Werte sind: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainNameund Url.
Anwendung Zeichenfolge Die dem Indikator zugeordnete Anwendung.
Aktion Enum Die Aktion, die ausgeführt wird, wenn der Indikator in der Organisation erkannt wird. Mögliche Werte sind: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediateund Allowed.
externalID Zeichenfolge Id, die der Kunde in der Anforderung für eine benutzerdefinierte Korrelation übermitteln kann.
sourceType Enum User für den Fall, dass der Indikator von einem Benutzer (z. B. über das Portal) AadApp erstellt wurde, für den Fall, dass er mithilfe einer automatisierten Anwendung über die API übermittelt wurde.
createdBySource string Der Name des Benutzers/der Anwendung, der den Indikator übermittelt hat.
createdBy Zeichenfolge Eindeutige Identität des Benutzers/der Anwendung, der den Indikator übermittelt hat.
lastUpdatedBy Zeichenfolge Identität des Benutzers/der Anwendung, der den Indikator zuletzt aktualisiert hat.
creationTimeDateTimeUtc DateTimeOffset Das Datum und die Uhrzeit der Erstellung des Indikators.
expirationTime DateTimeOffset Die Ablaufzeit des Indikators.
lastUpdateTime DateTimeOffset Der Zeitpunkt, zu dem der Indikator zuletzt aktualisiert wurde.
Schweregrad Enum Der Schweregrad des Indikators. Mögliche Werte sind: Informational, Low, Medium, und High.
title String Indikatortitel.
description Zeichenfolge Beschreibung des Indikators.
recommendedActions Zeichenfolge Empfohlene Aktionen für den Indikator.
rbacGroupNames Liste der Zeichenfolgen RBAC-Gerätegruppennamen, bei denen der Indikator verfügbar gemacht und aktiv ist. Leere Liste für den Fall, dass sie für alle Geräte verfügbar gemacht wird.
rbacGroupIds Liste der Zeichenfolgen RBAC-Gerätegruppen-IDs, bei denen der Indikator verfügbar gemacht und aktiv ist. Leere Liste für den Fall, dass sie für alle Geräte verfügbar gemacht wird.
generateAlert Enum True , wenn die Warnungsgenerierung erforderlich ist, False , wenn dieser Indikator keine Warnung generieren soll.

Indikatortypen

Die von der API unterstützten Indikatoraktionstypen sind:

  • Allowed
  • Überwachung
  • Blockieren
  • BlockAndRemediate
  • Warnung (nur Defender für Cloud-Apps)

Weitere Informationen zur Beschreibung der Antwortaktionstypen finden Sie unter Erstellen von Indikatoren.

Hinweis

Die vorherigen Antwortaktionen (AlertAndBlock und Alert) werden bis Januar 2022 unterstützt. Nach diesem Datum müssen alle Kunden einen der in diesem Abschnitt aufgeführten Aktionstypen verwenden.

JSON-Darstellung

{
    "id": "994",
    "indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
    "indicatorType": "FileSha256",
    "action": "AlertAndBlock",
    "application": null,
    "source": "user@contoso.onmicrosoft.com",
    "sourceType": "User",
    "createdBy": "user@contoso.onmicrosoft.com",
    "severity": "Informational",
    "title": "Michael test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
    "expirationTime": null,
    "lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": ["team1"]
}

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.