Luetteloi tapausten ohjelmointirajapinta Microsoft Defender XDR
Koskee seuraavia:
Huomautus
Kokeile uusia ohjelmointirajapintojamme MS Graphin suojauksen ohjelmointirajapinnan avulla. Lisätietoja on osoitteessa: Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen - Microsoft Graph | Microsoft Learn.
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Ohjelmointirajapinnan kuvaus
Luettelotapausten ohjelmointirajapinnan avulla voit lajitella tapaukset ja luoda tietoon perustuvan kyberturvallisuusvasteen. Se paljastaa kokoelman tapahtumia, jotka on merkitty verkossasi ympäristösi säilytyskäytännössä määrittämäsi ajan kuluessa. Viimeisimmät tapaukset näkyvät luettelon yläosassa. Jokainen tapaus sisältää joukon liittyviä ilmoituksia ja niihin liittyviä entiteettejä.
Ohjelmointirajapinta tukee seuraavia OData-operaattoreita :
$filter
-,createdTime
-,status
- jaassignedTo
-lastUpdateTime
ominaisuuksissa$top
, jonka enimmäisarvo on 100$skip
Rajoitukset
- Sivun enimmäiskoko on 100 tapausta.
- Pyyntöjen enimmäismäärä on 50 puhelua minuutissa ja 1 500 puhelua tunnissa.
Käyttöoikeudet
Tämän ohjelmointirajapinnan kutsumiseen tarvitaan jokin seuraavista käyttöoikeuksista. Lisätietoja, mukaan lukien käyttöoikeuksien valitseminen, on artikkelissa Käyttöoikeuksien Microsoft Defender XDR ohjelmointirajapinnat
Käyttöoikeustyyppi | Lupaa | Käyttöoikeuden näyttönimi |
---|---|---|
Sovellus | Tapaus.Lue.Kaikki | Lue kaikki tapaukset |
Sovellus | Incident.ReadWrite.All | Kaikkien tapausten luku- ja kirjoitusoikeudet |
Delegoitu (työpaikan tai oppilaitoksen tili) | Tapaus.Lue | Lukutapaukset |
Delegoitu (työpaikan tai oppilaitoksen tili) | Tapaus.Luku Jaettava | Luku- ja kirjoitustapaukset |
Huomautus
Kun hankit tunnuksen käyttäjän tunnistetiedoilla:
- Käyttäjällä on oltava portaalin tapahtumien tarkasteluoikeudet.
- Vastaus sisältää vain tapaukset, joille käyttäjä altistuu.
HTTP-pyyntö
GET /api/incidents
Pyynnön otsikot
Nimi | Kirjoita | Kuvaus |
---|---|---|
Lupa | Merkkijono | Haltija {token}. Pakollinen |
Pyynnön leipäteksti
Mikään.
Vastaus
Jos tämä menetelmä onnistuu, se palauttaa 200 OK
arvon ja luettelon tapauksista vastausrungossa.
Rakenteen yhdistäminen
Tapausten metatiedot
Kentän nimi | Kuvaus | Esimerkkiarvo |
---|---|---|
incidentId | Yksilöivä tunniste, joka edustaa tapausta | 924565 |
redirectIncidentId | Täytetään vain, jos tapaus ryhmitetään yhteen toisen tapauksen kanssa osana tapahtuman käsittelylogiikkaa. | 924569 |
IncidentName | Merkkijonon arvo on käytettävissä jokaiselle tapahtumalle. | Kiristyshaittaohjelmatoiminta |
createdTime | Aika, jolloin tapaus luotiin ensimmäisen kerran. | 2020-09-06T14:46:57.0733333Z |
lastUpdateTime | Aika, jolloin tapaus päivitettiin viimeksi taustalle. Tätä kenttää voidaan käyttää, kun määrität tapausten noutoajan pyyntöparametria. |
2020-09-06T14:46:57.29Z |
assignedTo | Tapahtuman omistaja tai tyhjäarvoinen , jos omistajaa ei ole määritetty. | secop2@contoso.com |
Luokittelu | Tapahtuman määritys. Ominaisuuden arvot ovat: Unknown, FalsePositive, TruePositive | tuntematon |
Määrittäminen | Määrittää tapahtuman määrittämisen. Ominaisuusarvot ovat: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | Ei käytettävissä |
detectionSource | Määrittää tunnistuksen lähteen. | Defender for Cloud Apps |
Tila | Luokittele tapaukset ( aktiivisiksi tai ratkaistuiksi). Se voi auttaa sinua organisoimaan ja hallitsemaan reaktioitasi tapauksiin. | Aktiivinen |
Vakavuus | Ilmaisee mahdollisen vaikutuksen resurssihin. Mitä suurempi vakavuus, sitä suurempi vaikutus. Yleensä suuremmat vakavuusasteen kohteet edellyttävät välittömintä huomiota. Yksi seuraavista arvoista: Informational, Low, *Medium ja High. |
Normaali |
Tunnisteet | Tapahtumaan liittyvien mukautettujen tunnisteiden matriisi, esimerkiksi sellaisen tapausryhmän merkitsemiseksi, jolla on yhteinen ominaisuus. | [] |
Kommentit | Tapahtuman hallinnan yhteydessä luotujen kommenttien matriisi, esimerkiksi lisätietoja luokitusvalinnasta. | [] |
Ilmoitukset | Matriisi, joka sisältää kaikki tapahtumaan liittyvät hälytykset sekä muita tietoja, kuten vakavuuden, hälytykseen osallistuneet entiteetit ja hälytysten lähteen. | [] (katso alla olevat ilmoituskenttien tiedot) |
Ilmoitusten metatiedot
Kentän nimi | Kuvaus | Esimerkkiarvo |
---|---|---|
alertId | Ilmoitusta edustava yksilöllinen tunnus | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
incidentId | Yksilöllinen tunniste, joka edustaa tapausta, johon tämä ilmoitus liittyy | 924565 |
serviceSource | Palvelu, josta ilmoitus on peräisin, kuten Microsoft Defender for Endpoint, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity tai Microsoft Defender for Office 365. | MicrosoftCloudAppSecurity |
creationTime | Ilmoituksen luontiaika. | 2020-09-06T14:46:55.7182276Z |
lastUpdatedTime | Aika, jolloin ilmoitus päivitettiin viimeksi taustan yhteydessä. | 2020-09-06T14:46:57.2433333Z |
resolvedTime | Aika, jolloin ilmoitus on ratkaistu. | 2020-09-10T05:22:59Z |
firstActivity | Aika, jolloin ilmoitus ilmoitti ensimmäisen kerran, että toiminto päivitettiin taustan yhteydessä. | 2020-09-04T05:22:59Z |
Otsikko | Lyhyt kuvaus kunkin ilmoituksen käytettävissä olevista merkkijonoarvoista. | Kiristyshaittaohjelmatoiminta |
Kuvaus | Kutakin ilmoitusta kuvaava merkkijonoarvo. | Käyttäjä Test User2 (testUser2@contoso.com) käsitteli 99 tiedostoa, joiden tunnisteet olivat useita ja jotka päättyivät epätavalliseen herunterladen-tunnisteeseen. Tämä on epätavallinen määrä tiedostojen käsittelyjä ja on osoitus mahdollisesta kiristyshaittaohjelmahyökkäyksestä. |
Luokka | Visuaalinen ja numeerinen näkymä siitä, kuinka pitkälle hyökkäys on edennyt tappoketjun aikana. Linjassa MITRE ATT&CK™ -kehykseen. | Vaikutus |
Tila | Luokittele ilmoitukset ( uusi, aktiivinen tai ratkaistu). Se voi auttaa ilmoitusten järjestämisessä ja hallinnassa. | Uusi |
Vakavuus | Ilmaisee mahdollisen vaikutuksen resurssihin. Mitä suurempi vakavuus, sitä suurempi vaikutus. Yleensä suuremmat vakavuusasteen kohteet edellyttävät välittömintä huomiota. Yksi seuraavista arvoista: Informational, Low, Medium ja High. |
Normaali |
investigationId | Hälytyksen käynnistämä automatisoitu tutkintatunnus. | 1234 |
investigationState | Tietoa tutkimuksen nykyisestä tilasta. Jokin seuraavista arvoista: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | Ei-tuettuAlertType |
Luokittelu | Tapahtuman määritys. Ominaisuuden arvot ovat : Unknown, FalsePositive, TruePositive tai null | tuntematon |
Määrittäminen | Määrittää tapahtuman määrittämisen. Ominaisuusarvot ovat: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other tai null | Apt |
assignedTo | Tapahtuman omistaja tai tyhjäarvoinen , jos omistajaa ei ole määritetty. | secop2@contoso.com |
näyttelijän nimi | Tähän ilmoituksiin mahdollisesti liittyvä toimintoryhmä. | BOORI |
threatFamilyName | Tähän hälytykseen liittyvä uhkaperhe. | Null |
mitreAippain | Hyökkäystekniikat, jotka ovat linjassa MITRE ATT&CK-kehyksen™ kanssa. | [] |
Laitteet | Kaikki laitteet, joissa tapahtumaan liittyvät hälytykset lähetettiin. | [] (katso entiteettikenttien tiedot alta) |
Laitemuoto
Kentän nimi | Kuvaus | Esimerkkiarvo |
---|---|---|
DeviceId | Laitetunnus, joka on määritetty Microsoft Defender for Endpoint. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
aadDeviceId | Laitetunnus Microsoft Entra ID määritetyllä tavalla. Käytettävissä vain toimialueeseen liitettyjen laitteiden kanssa. | Null |
deviceDnsName | Laitteen täydellinen toimialuenimi. | user5cx.middleeast.corp.contoso.com |
osPlatform | Käyttöjärjestelmän käyttöympäristö, jota laite suorittaa. | WindowsServer2016 |
osBuild | Laitteen käyttämän käyttöjärjestelmän koontiversio. | 14393 |
rbacGroupName | Laitteeseen liittyvä roolipohjainen käytönvalvontaryhmä (RBAC). | WDATP-Ring0 |
firstSeen | Aika, jolloin laite nähtiin ensimmäisen kerran. | 2020-02-06T14:16:01.9330135Z |
healthStatus | Laitteen kuntotila. | Aktiivinen |
riskScore | Laitteen riskipisteet. | Korkea |
Yhteisöt | Kaikki entiteetit, jotka on tunnistettu tietyn ilmoituksen osaksi tai liittyväksi. | [] (katso entiteettikenttien tiedot alta) |
Entiteetin muoto
Kentän nimi | Kuvaus | Esimerkkiarvo |
---|---|---|
entityType | Entiteetit, jotka on tunnistettu tietyn ilmoituksen osaksi tai liittyväksi. Ominaisuuksien arvot ovat: User, Ip, URL, File, Process, MailBox, MailMessage, MailCluster, Registry |
Käyttäjä |
sha1 | Käytettävissä, jos entityType on Tiedosto. Tiedostoon tai prosessiin liittyvien ilmoitusten hajautusarvo. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
sha256 | Käytettävissä, jos entityType on Tiedosto. Tiedostoon tai prosessiin liittyvien ilmoitusten hajautusarvo. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
Tiedostonimi | Käytettävissä, jos entityType on Tiedosto. Tiedostoon tai prosessiin liittyvien ilmoitusten tiedostonimi |
Detector.UnitTests.dll |
Filepath | Käytettävissä, jos entityType on Tiedosto. Tiedostoon tai prosessiin liittyvien ilmoitusten tiedostopolku |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
processId | Käytettävissä, jos entityType on Prosessi. | 24348 |
processCommandLine | Käytettävissä, jos entityType on Prosessi. | "Tiedosto on valmis Download_1911150169.exe" |
processCreationTime | Käytettävissä, jos entityType on Prosessi. | 2020-07-18T03:25:38.5269993Z |
parentProcessId | Käytettävissä, jos entityType on Prosessi. | 16840 |
parentProcessCreationTime | Käytettävissä, jos entityType on Prosessi. | 2020-07-18T02:12:32.8616797Z |
Ip | Käytettävissä, jos entityType on Ip. VERKKOtapahtumiin liittyvien ilmoitusten, kuten Tietoliikenne haitalliseen verkkokohteeseen, IP-osoite. |
62.216.203.204 |
Url | Käytettävissä, jos entityType on URL-osoite. Verkkotapahtumiin liittyvien ilmoitusten URL-osoite, kuten Tietoliikenne haitallisiin verkkokohteisiin. |
down.esales360.cn |
accountName | Käytettävissä, jos entityType on Käyttäjä. | testUser2 |
toimialueen nimi | Käytettävissä, jos entityType on Käyttäjä. | europe.corp.contoso |
userSid | Käytettävissä, jos entityType on Käyttäjä. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
aadUserId | Käytettävissä, jos entityType on Käyttäjä. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
userPrincipalName | Käytettävissä, jos entityType on Käyttäjänpostilaatikon//postiviesti. | testUser2@contoso.com |
mailboxDisplayName | Käytettävissä, jos entityType on Postilaatikko. | testaa käyttäjä2 |
postilaatikkoOsoite | Käytettävissä, jos entityType on Käyttäjänpostilaatikon//postiviesti. | testUser2@contoso.com |
klusterointi | Käytettävissä, jos entityType on MailCluster. | Aihe; P2SenderDomain; Sisältötyyppi |
Lähettäjä | Käytettävissä, jos entityType on Käyttäjänpostilaatikon//postiviesti. | user.abc@mail.contoso.co.in |
Vastaanottaja | Käytettävissä, jos entityType on MailMessage. | testUser2@contoso.com |
Aihe | Käytettävissä, jos entityType on MailMessage. | [ULKOINEN] Huomiota |
deliveryAction | Käytettävissä, jos entityType on MailMessage. | Toimitetaan |
securityGroupId | Käytettävissä, jos entityType on SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
securityGroupName | Käytettävissä, jos entityType on SecurityGroup. | Verkkomääritysoperaattorit |
registryHive | Käytettävissä, jos entityType on Rekisteri. | HKEY_LOCAL_MACHINE |
registryKey | Käytettävissä, jos entityType on Rekisteri. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
registryValueType | Käytettävissä, jos entityType on Rekisteri. | Merkkijono |
registryValue | Käytettävissä, jos entityType on Rekisteri. | 31-00-00-00 |
deviceId | Entiteettiin liittyvän laitteen tunnus, jos sellainen on. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
Esimerkki
Esimerkkipyyntö
GET https://api.security.microsoft.com/api/incidents
Vastausesimerkki
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Aiheeseen liittyviä artikkeleita
Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn
Lisätietoja ohjelmointirajapinnan rajoituksista ja käyttöoikeuksista
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.