Compartir vía


Enumerar la API de incidentes en Microsoft Defender XDR

Se aplica a:

Nota:

Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Descripción de la API

La API de lista de incidentes le permite ordenar los incidentes para crear una respuesta de ciberseguridad informada. Expone una colección de incidentes marcados en la red, dentro del intervalo de tiempo especificado en la directiva de retención del entorno. Los incidentes más recientes se muestran en la parte superior de la lista. Cada incidente contiene una matriz de alertas relacionadas y sus entidades relacionadas.

La API admite los siguientes operadores de OData :

  • $filteren las lastUpdateTimepropiedades , createdTime, statusy assignedTo
  • $top, con un valor máximo de 100
  • $skip

Limitaciones

  1. El tamaño máximo de página es de 100 incidentes.
  2. La tasa máxima de solicitudes es de 50 llamadas por minuto y 1500 llamadas por hora.

Permisos

Se requiere uno de los siguientes permisos para llamar a esta API. Para más información, incluido cómo elegir permisos, consulte Access Microsoft Defender XDR API

Tipo de permiso Permiso Nombre para mostrar del permiso
Aplicación Incident.Read.All Leer todos los incidentes
Aplicación Incident.ReadWrite.All Leer y escribir todos los incidentes
Delegado (cuenta profesional o educativa) Incident.Read Leer incidentes
Delegado (cuenta profesional o educativa) Incident.ReadWrite Incidentes de lectura y escritura

Nota:

Al obtener un token con credenciales de usuario:

  • El usuario debe tener permiso de visualización para incidentes en el portal.
  • La respuesta solo incluirá incidentes a los que esté expuesto el usuario.

Solicitud HTTP

GET /api/incidents

Encabezados de solicitud

Nombre Tipo Descripción
Authorization Cadena {token} de portador. Required

Cuerpo de la solicitud

Ninguna.

Respuesta

Si se ejecuta correctamente, este método devuelve 200 OKy una lista de incidentes en el cuerpo de la respuesta.

Asignación de esquemas

Metadatos de incidentes

Nombre del campo Description Valor de ejemplo
incidentId Identificador único para representar el incidente 924565
redirectIncidentId Solo se rellena en caso de que un incidente se agrupe junto con otro incidente, como parte de la lógica de procesamiento de incidentes. 924569
incidentName Valor de cadena disponible para cada incidente. Actividad de ransomware
createdTime Hora en que se creó el incidente por primera vez. 2020-09-06T14:46:57.0733333Z
lastUpdateTime Hora a la que se actualizó por última vez el incidente en el back-end.

Este campo se puede usar al establecer el parámetro de solicitud para el intervalo de tiempo que se recuperan los incidentes.

2020-09-06T14:46:57.29Z
assignedTo Propietario del incidente o null si no se asigna ningún propietario. secop2@contoso.com
classification Especificación del incidente. Los valores de propiedad son: Unknown, FalsePositive, TruePositive Unknown
Determinación Especifica la determinación del incidente. Los valores de propiedad son: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other No disponible
detectionSource Especifica el origen de la detección. Defender for Cloud Apps
status Clasifique los incidentes (como Activos o Resueltos). Puede ayudarle a organizar y administrar la respuesta a incidentes. Activo
severity Indica el posible impacto en los recursos. Cuanto mayor sea la gravedad, mayor será el impacto. Normalmente, los elementos de gravedad más altos requieren la atención más inmediata.

Uno de los valores siguientes: Informativo, Bajo, *Medio y Alto.

Mediano
tags Matriz de etiquetas personalizadas asociadas a un incidente, por ejemplo, para marcar un grupo de incidentes con una característica común. []
comments Matriz de comentarios creados por secops al administrar el incidente, por ejemplo, información adicional sobre la selección de clasificación. []
alertas Matriz que contiene todas las alertas relacionadas con el incidente, además de otra información, como la gravedad, las entidades implicadas en la alerta y el origen de las alertas. [] (consulte los detalles sobre los campos de alerta a continuación)

Metadatos de alertas

Nombre del campo Descripción Valor de ejemplo
alertId Identificador único para representar la alerta caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId Identificador único para representar el incidente al que está asociada esta alerta 924565
serviceSource Servicio del que se origina la alerta, como Microsoft Defender para punto de conexión, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity o Microsoft Defender para Office 365. MicrosoftCloudAppSecurity
creationTime Hora en que se creó la alerta por primera vez. 2020-09-06T14:46:55.7182276Z
lastUpdatedTime Hora a la que se actualizó por última vez la alerta en el back-end. 2020-09-06T14:46:57.2433333Z
resolvedTime Hora en que se resolvió la alerta. 2020-09-10T05:22:59Z
firstActivity Hora en que la alerta informó por primera vez de que la actividad se actualizó en el back-end. 2020-09-04T05:22:59Z
title Breve valor de cadena de identificación disponible para cada alerta. Actividad de ransomware
description Valor de cadena que describe cada alerta. El usuario Test User2 (testUser2@contoso.com) manipuló 99 archivos con varias extensiones que terminan con la extensión poco común herunterladen. Este es un número inusual de manipulaciones de archivos y es indicativo de un posible ataque ransomware.
categoría Vista visual y numérica de hasta dónde ha progresado el ataque a lo largo de la cadena de eliminación. Alineado con el marco de trabajo de MITRE ATT&CK™. Impacto
status Clasifique las alertas (como Nuevas, Activas o Resueltas). Puede ayudarle a organizar y administrar la respuesta a las alertas. Nuevo
severity Indica el posible impacto en los recursos. Cuanto mayor sea la gravedad, mayor será el impacto. Normalmente, los elementos de gravedad más altos requieren la atención más inmediata.
Uno de los valores siguientes: Informativo, Bajo, Medio y Alto.
Mediano
investigationId Identificador de investigación automatizado desencadenado por esta alerta. 1234
investigationState Información sobre el estado actual de la investigación. Uno de los siguientes valores: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. UnsupportedAlertType
classification Especificación del incidente. Los valores de propiedad son: Unknown, FalsePositive, TruePositive o null Unknown
Determinación Especifica la determinación del incidente. Los valores de propiedad son: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other o null Apt
assignedTo Propietario del incidente o null si no se asigna ningún propietario. secop2@contoso.com
actorName El grupo de actividad, si existe, asociado a esta alerta. BORO
threatFamilyName Familia de amenazas asociada a esta alerta. nulo
mitreTechniques Las técnicas de ataque, según se alinean con el marco de trabajo de MITRE ATT&CK™. []
dispositivos Todos los dispositivos donde se enviaron alertas relacionadas con el incidente. [] (consulte los detalles sobre los campos de entidad a continuación)

Formato de dispositivo

Nombre del campo Description Valor de ejemplo
DeviceId Identificador de dispositivo designado en Microsoft Defender para punto de conexión. 24c222b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceId Identificador de dispositivo designado en Microsoft Entra ID. Solo está disponible para dispositivos unidos a un dominio. nulo
deviceDnsName Nombre de dominio completo para el dispositivo. user5cx.middleeast.corp.contoso.com
osPlatform Plataforma del sistema operativo en la que se ejecuta el dispositivo. WindowsServer2016
osBuild Versión de compilación del sistema operativo en ejecución del dispositivo. 14393
rbacGroupName El grupo de control de acceso basado en rol (RBAC) asociado al dispositivo. WDATP-Ring0
firstSeen Hora en que se vio el dispositivo por primera vez. 2020-02-06T14:16:01.9330135Z
healthStatus Estado de mantenimiento del dispositivo. Activo
riskScore Puntuación de riesgo del dispositivo. Alto
Entidades Todas las entidades que se han identificado para formar parte o estar relacionadas con una alerta determinada. [] (consulte los detalles sobre los campos de entidad a continuación)

Formato de entidad

Nombre del campo Descripción Valor de ejemplo
Entitytype Entidades que se han identificado como parte o relacionadas con una alerta determinada.
Los valores de propiedades son: User, Ip, Url, File, Process, MailBox, MailMessage, MailCluster, Registry
Usuario
sha1 Disponible si entityType es File.
Hash de archivo para las alertas asociadas a un archivo o proceso.
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 Disponible si entityType es File.
Hash de archivo para las alertas asociadas a un archivo o proceso.
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
fileName Disponible si entityType es File.
Nombre de archivo de las alertas asociadas a un archivo o proceso
Detector.UnitTests.dll
Filepath Disponible si entityType es File.
Ruta de acceso del archivo para las alertas asociadas a un archivo o proceso
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
processId Disponible si entityType es Process. 24348
processCommandLine Disponible si entityType es Process. "El archivo está listo para Download_1911150169.exe"
processCreationTime Disponible si entityType es Process. 2020-07-18T03:25:38.5269993Z
parentProcessId Disponible si entityType es Process. 16840
parentProcessCreationTime Disponible si entityType es Process. 2020-07-18T02:12:32.8616797Z
ipAddress Disponible si entityType es Ip.
Dirección IP de las alertas asociadas a eventos de red, como la comunicación con un destino de red malintencionado.
62.216.203.204
url Disponible si entityType es Url.
Dirección URL de las alertas asociadas a eventos de red, como la comunicación con un destino de red malintencionado.
down.esales360.cn
accountName Disponible si entityType es User. testUser2
domainName Disponible si entityType es User. europe.corp.contoso
userSid Disponible si entityType es User. S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId Disponible si entityType es User. fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName Disponible si entityType es User/MailBox/MailMessage. testUser2@contoso.com
mailboxDisplayName Disponible si entityType es MailBox. probar User2
mailboxAddress Disponible si entityType es User/MailBox/MailMessage. testUser2@contoso.com
clusterBy Disponible si entityType es MailCluster. Asunto; P2SenderDomain; Contenttype
sender Disponible si entityType es User/MailBox/MailMessage. user.abc@mail.contoso.co.in
destinatario Disponible si entityType es MailMessage. testUser2@contoso.com
subject Disponible si entityType es MailMessage. [EXTERNAL] Atención
deliveryAction Disponible si entityType es MailMessage. Entregado
securityGroupId Disponible si entityType es SecurityGroup. 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName Disponible si entityType es SecurityGroup. Operadores de configuración de red
registryHive Disponible si entityType es Registry. HKEY_LOCAL_MACHINE
registryKey Disponible si entityType es Registry. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType Disponible si entityType es Registry. Cadena
registryValue Disponible si entityType es Registry. 31-00-00-00
deviceId Identificador, si existe, del dispositivo relacionado con la entidad. 986e5df8b73dacd43c8917d17e523e76b13c75cd

Ejemplo

Ejemplo de solicitud

GET https://api.security.microsoft.com/api/incidents

Ejemplo de respuesta

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.