Type de ressource d’indicateur
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Remarque
Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.
Conseil
Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- Consultez la page Indicateurs correspondante dans le portail.
| Méthode | Type renvoyé | Description |
|---|---|---|
| Répertorier des indicateurs | Indicateur Collection | Répertorier les entités d’indicateur. |
| Envoyer des indicateurs | Indicateur | Envoyer ou mettre à jour l’entité Indicateur . |
| Importer des indicateurs | Indicateur Collection | Envoyer ou mettre à jour des entités Indicateurs . |
| Supprimer des indicateurs | Aucun contenu | Supprime l’entité Indicateur . |
Propriétés
| Propriété | Type | Description |
|---|---|---|
| id | Chaîne | Identité de l’entité Indicateur . |
| indicatorValue | Chaîne | Valeur de l’indicateur. |
| indicatorType | Énum | Type de l’indicateur. Les valeurs possibles sont , FileSha1, FileMd5FileSha256, CertificateThumbprintIpAddress, DomainName, et Url. |
| application | Chaîne | Application associée à l’indicateur. |
| action | Énum | Action effectuée si l’indicateur est découvert dans le organization. Les valeurs possibles sont , Warn, AuditBlock, AlertAlertAndBlock, BlockAndRemediate, et Allowed. |
| externalID | Chaîne | ID que le client peut envoyer dans la demande de corrélation personnalisée. |
| Sourcetype | Énum | User si l’indicateur créé par un utilisateur (par exemple, à partir du portail), AadApp s’il a été envoyé à l’aide d’une application automatisée via l’API. |
| createdBySource | string | Nom de l’utilisateur/de l’application qui a envoyé l’indicateur. |
| createdBy | String | Identité unique de l’utilisateur/de l’application qui a envoyé l’indicateur. |
| lastUpdatedBy | Chaîne | Identité de l’utilisateur/de l’application qui a mis à jour l’indicateur pour la dernière fois. |
| creationTimeDateTimeUtc | DateTimeOffset | Date et heure de création de l’indicateur. |
| expirationTime | DateTimeOffset | Heure d’expiration de l’indicateur. |
| lastUpdateTime | DateTimeOffset | Dernière mise à jour de l’indicateur. |
| Sévérité | Énum | Gravité de l’indicateur. Les valeurs possibles sont : Informational, Low, Medium, et High |
| title | Chaîne | Titre de l’indicateur. |
| description | Chaîne | Description de l’indicateur. |
| recommendedActions | Chaîne | Actions recommandées pour l’indicateur. |
| rbacGroupNames | Liste de chaînes | Noms des groupes d’appareils RBAC où l’indicateur est exposé et actif. Liste vide au cas où il était exposé à tous les appareils. |
| rbacGroupIds | Liste de chaînes | ID de groupe d’appareils RBAC où l’indicateur est exposé et actif. Liste vide au cas où il était exposé à tous les appareils. |
| generateAlert | Énum | True si la génération d’alerte est requise, False si cet indicateur ne doit pas générer d’alerte. |
Types d’indicateurs
Les types d’actions d’indicateur pris en charge par l’API sont les suivants :
- Autorisé
- Audit
- Bloquer
- BlockAndRemediate
- Avertir (Defender for Cloud Apps uniquement)
Pour plus d’informations sur la description des types d’actions de réponse, consultez Créer des indicateurs.
Remarque
Les actions de réponse précédentes (AlertAndBlock et Alerte) seront prises en charge jusqu’en janvier 2022. Après cette date, tous les clients doivent utiliser l’un des types d’actions répertoriés dans cette section.
Représentation Json
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
Voir aussi
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour