לקריאה באנגלית

שתף באמצעות


רשימת API של אירועים Microsoft Defender XDR

חל על:

הערה

נסה את ממשקי ה- API החדשים שלנו באמצעות API של אבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API לאבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.

חשוב

חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

תיאור API

ה- API של אירועי הרשימה מאפשר לך למיין אירועים כדי ליצור תגובה מושכלת לאבטחת סייבר. הוא חושף אוסף של אירועים שסומנו ברשת שלך, בטווח הזמן שציינת במדיניות שמירת הסביבה שלך. האירועים האחרונים מוצגים בראש הרשימה. כל מקרה מכיל מערך של התראות קשורות ואת הישויות הקשורות שלהן.

ה- API תומך באופרטורים הבאים של OData :

  • $filterב- lastUpdateTime, createdTime, statusובמאפיינים assignedTo
  • $top, עם ערך מרבי של 100
  • $skip

מגבלות

  1. גודל העמוד המרבי הוא 100 אירועים.
  2. שיעור הבקשות המרבי הוא 50 שיחות בדקה ו - 1500 שיחות בשעה.

הרשאות

אחת מההרשאות הבאות נדרשת כדי לקרוא ל- API זה. לקבלת מידע נוסף, כולל כיצד לבחור הרשאות, ראה Access Microsoft Defender XDR API

סוג הרשאה הרשאה שם תצוגה של הרשאה
יישום Incident.Read.All קרא את כל האירועים
יישום Incident.ReadWrite.All קריאה וכתיבה של כל האירועים
מוסמך (חשבון בעבודה או בבית ספר) אירוע.קריאה קריאת אירועים
מוסמך (חשבון בעבודה או בבית ספר) Incident.ReadWrite קריאה וכתיבה של אירועים

הערה

בעת השגת אסימון באמצעות אישורי משתמש:

  • המשתמש צריך להיות בעל הרשאת תצוגה עבור אירועים בפורטל.
  • התגובה תכלול רק מקרים שהמשתמש נחשף אליהם.

בקשת HTTP

GET /api/incidents

כותרות בקשות

Name סוג תיאור
ההרשאות מחרוזת נושא {token}. נדרש

גוף הבקשה

ללא.

תגובה

אם שיטה זו הצליחה 200 OK, היא מחזירה את רשימת האירועים בגוף התגובה.

מיפוי סכימה

מטה-נתונים של אירוע

שם שדה תיאור ערך לדוגמה
מזהה אירוע מזהה ייחודי לייצוג המקרה 924565
redirectIncidentId מאוכלס רק במקרה של קיבוץ אירוע יחד עם מקרה אחר, כחלק מהלוגיקה של עיבוד אירוע. 924569
שם אירוע ערך מחרוזת זמין עבור כל מקרה. פעילות תוכנת כופר
createdTime הזמן שבו נוצרה התקרית לראשונה. 2020-09-06T14:46:57.0733333Z
lastUpdateTime הזמן שבו האירוע עודכן לאחרונה בקצה העורפי.

ניתן להשתמש בשדה זה בעת הגדרת פרמטר הבקשה עבור טווח הזמן שבו אירועים מאוחזרים.

2020-09-06T14:46:57.29Z
Assignedto הבעלים של האירוע, או Null אם לא הוקצה בעלים. secop2@contoso.com
סיווג המפרט של המקרה. ערכי המאפיין הם: Unknown, FalsePositive, TruePositive לא ידוע
נחישות מציין את קביעה של המקרה. ערכי המאפיינים הם: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other לא זמין
מקור זיהוי מציין את מקור הזיהוי. Defender עבור יישומי ענן
מצב חלק אירועים לקטגוריות (כפעילים או נפתרו). הוא יכול לעזור לך לארגן ולנהל את התגובה שלך לתקריות. פעילה
חומרת מציין את ההשפעה האפשרית על נכסים. כך החומרה גבוהה יותר, כך ההשפעה גדולה יותר. בדרך כלל, פריטי חומרה גבוהים יותר דורשים את תשומת הלב המיידית ביותר.

אחד מהערכים הבאים: Informational, Low, *Medium ו- High.

בינוני
תגיות מערך של תגיות מותאמות אישית המשויכות לתקריות, לדוגמה כדי לסמן קבוצת אירועים כמאפיין נפוץ. []
הערות מערך הערות שנוצרו על-ידי secops בעת ניהול האירוע, לדוגמה מידע נוסף אודות בחירת הסיווג. []
התראות מערך המכיל את כל ההתראות הקשורות לתקרית, וכן מידע נוסף, כגון חומרה, ישויות שהיו מעורבים בהתראה ומקור ההתראות. [] (ראה פרטים על שדות ההתראה להלן)

מטה-נתונים של התראות

שם שדה תיאור ערך לדוגמה
מזהה התראה מזהה ייחודי לייצוג ההתראה caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
מזהה אירוע מזהה ייחודי לייצוג המקרה שהתראה זו משויכת לו 924565
מקור שירות שירות שממנו הגיעה ההתראה, כגון Microsoft Defender עבור נקודת קצה, יישומי ענן של Microsoft Defender, Microsoft Defender עבור זהות, או Microsoft Defender עבור Office 365. MicrosoftCloudAppSecurity
זמן יצירה הזמן שבו ההתראה נוצרה לראשונה. 2020-09-06T14:46:55.7182276Z
lastUpdatedTime הזמן שבו ההתראה עודכנה לאחרונה בקצה העורפי. 2020-09-06T14:46:57.2433333Z
resolvedTime הזמן שבו ההתראה נפתרה. 2020-09-10T05:22:59Z
פעילות ראשונה הזמן שבו ההתראה דיווחה לראשונה שפעילות עודכנה בקצה העורפי. 2020-09-04T05:22:59Z
כותרת מזהה בקצרה את ערך המחרוזת הזמין עבור כל התראה. פעילות תוכנת כופר
תיאור ערך מחרוזת המתאר כל התראה. המשתמש Test User2 (testUser2@contoso.com) טפל בקבצים של 99 עם סיומות מרובות המסתיימים בסיומת הלא קרובות ללא שינוי. זהו מספר חריג של טיפולים בקובץ והוא מצביע על התקפה פוטנציאלית של תוכנת כופר.
קטגוריה תצוגה חזותית ומספרית של התקדמות ההתקפה לאורך שרשרת ההרוגים. מיושר למסגרת MITRE ATT&CK™. השפעה
מצב חלק התראות לקטגוריות ( כחדש, פעיל או נפתר). הוא יכול לעזור לך לארגן ולנהל את התגובה שלך להתראות. חדש
חומרת מציין את ההשפעה האפשרית על נכסים. כך החומרה גבוהה יותר, כך ההשפעה גדולה יותר. בדרך כלל, פריטי חומרה גבוהים יותר דורשים את תשומת הלב המיידית ביותר.
אחד מהערכים הבאים: Informational, Low, Medium ו- High.
בינוני
מזהה חקירה מזהה החקירה האוטומטית שהופעל על-ידי התראה זו. 1234
מצב חקירה מידע על המצב הנוכחי של החקירה. אחד מהערכים הבאים: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, אל תסתיר את זה. לא נתמךAlertType
סיווג המפרט של המקרה. ערכי המאפיין הם: Unknown, FalsePositive, TruePositive או Null לא ידוע
נחישות מציין את קביעה של המקרה. ערכי המאפיינים הם: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other אוNull אפט
Assignedto הבעלים של האירוע, או Null אם לא הוקצה בעלים. secop2@contoso.com
שם שחקן קבוצת הפעילות, אם קיימת, המשויכת להתראה זו. בורון
threatFamilyName משפחת איומים המשויכת להתראה זו. Null
mitreTechniques טכניקות ההתקפה, בהתאם למסגרת MITRE ATT&CK™. []
התקנים כל המכשירים שבהם נשלחו התראות הקשורות לתקרית. [] (ראה פרטים על שדות הישות להלן)

תבנית מכשיר

שם שדה תיאור ערך לדוגמה
מזהה מכשיר מזהה המכשיר כפי שצוין Microsoft Defender עבור נקודת קצה. 24c222b0b60fe148eeece49ac83910cc6a7ef491
ירון ירון מזהה המכשיר כפי שצוין Microsoft Entra מזהה. זמין רק עבור מכשירים המצורפים לתחום. Null
deviceDnsName שם התחום המלא עבור המכשיר. user5cx.middleeast.corp.contoso.com
osPlatform פלטפורמת מערכת ההפעלה הפועלת במכשיר. WindowsServer2016
osBuild גירסת ה- Build של מערכת ההפעלה הפועלת במכשיר. 14393
rbacGroupName קבוצת בקרת הגישה מבוססת התפקיד (RBAC) המשויכת למכשיר. WDATP-Ring0
מסך ראשון הזמן שבו המכשיר נראה לראשונה. 2020-02-06T14:16:01.9330135Z
מצב תקינות מצב התקינות של המכשיר. פעילה
טווח סיכונים ניקוד הסיכון עבור המכשיר. גבוהה
ישויות כל הישויות שזוהו כחלק מההתראה הנתונה או קשורות לה. [] (ראה פרטים על שדות הישות להלן)

תבנית ישות

שם שדה תיאור ערך לדוגמה
סוג ישות ישויות שזוהו כחלק מההתראה הנתונה או קשורות לה.
ערכי המאפיינים הם: משתמש, IP, כתובת URL, קובץ, תהליך, MailBox, MailMessage, MailCluster, רישום
משתמש
עדי תם זמין אם entityType הוא קובץ.
קוד ה- Hash של הקובץ עבור התראות המשויכות לקובץ או לתהליך.
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
עדי תם זמין אם entityType הוא קובץ.
קוד ה- Hash של הקובץ עבור התראות המשויכות לקובץ או לתהליך.
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
Filename זמין אם entityType הוא קובץ.
שם הקובץ עבור התראות המשויכות לקובץ או לתהליך
Detector.UnitTests.dll
קובץPath זמין אם entityType הוא קובץ.
נתיב הקובץ עבור התראות המשויכות לקובץ או לתהליך
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
מזהה תהליך זמין אם entityType הוא תהליך. 24348
processCommandLine זמין אם entityType הוא תהליך. "הקובץ שלך מוכן לDownload_1911150169.exe"
processCreationTime זמין אם entityType הוא תהליך. 2020-07-18T03:25:38.5269993Z
parentProcessId זמין אם entityType הוא תהליך. 16840
parentProcessCreationTime זמין אם entityType הוא תהליך. 2020-07-18T02:12:32.8616797Z
כתובת ip זמין אם entityType הוא IP.
כתובת IP עבור התראות המשויכות לאירועי רשת, כגון תקשורת ליעד של רשת זדונית.
62.216.203.204
כתובת url זמין אם entityType הוא כתובת URL.
כתובת URL עבור התראות המשויכות לאירועי רשת, כגון תקשורת ליעד של רשת זדונית.
down.esales360.cn
שם חשבון זמין אם entityType הוא משתמש. testUser2
שם תחום זמין אם entityType הוא משתמש. europe.corp.contoso
מזהה משתמש זמין אם entityType הוא משתמש. S-1-5-21-1721254763-462695806-1538882281-4156657
דורית ת'ם זמין אם entityType הוא משתמש. fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName זמין אם entityType הוא User/MailBox/MailMessage. testUser2@contoso.com
mailboxDisplayName זמין אם entityType הוא MailBox. test User2
תיבת דואר - כתובת זמין אם entityType הוא User/MailBox/MailMessage. testUser2@contoso.com
קיבוץ באשכולות זמין אם entityType הוא MailCluster. נושא; P2SenderDomain; סוג תוכן
השולח זמין אם entityType הוא User/MailBox/MailMessage. user.abc@mail.contoso.co.in
נמען זמין אם entityType הוא MailMessage. testUser2@contoso.com
נושא זמין אם entityType הוא MailMessage. [חיצוני] אני לא יכול לעשות את זה. תשומת לב
הפעולה 'מסירה' זמין אם entityType הוא MailMessage. נמסרה
מזהה קבוצת אבטחה זמין אם entityType הוא SecurityGroup. 301c47c8-e15f-4059-ab09-e2ba9ffd372b
שם קבוצת אבטחה זמין אם entityType הוא SecurityGroup. אופרטורים של תצורת רשת
registryHive זמין אם entityType הוא רישום. HKEY_LOCAL_MACHINE
מפתח רישום זמין אם entityType הוא רישום. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType זמין אם entityType הוא רישום. מחרוזת
ערך רישום זמין אם entityType הוא רישום. 31-00-00-00
מזהה מכשיר המזהה, אם בכלל, של המכשיר הקשור לישות. 986e5df8b73dacd43c8917d17e523e76b13c75cd

דוגמה

דוגמה לבקשה

GET https://api.security.microsoft.com/api/incidents

דוגמה לתגובה

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

טיפ

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.