רשימת API של אירועים Microsoft Defender XDR
חל על:
הערה
נסה את ממשקי ה- API החדשים שלנו באמצעות API של אבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API לאבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.
חשוב
חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
ה- API של אירועי הרשימה מאפשר לך למיין אירועים כדי ליצור תגובה מושכלת לאבטחת סייבר. הוא חושף אוסף של אירועים שסומנו ברשת שלך, בטווח הזמן שציינת במדיניות שמירת הסביבה שלך. האירועים האחרונים מוצגים בראש הרשימה. כל מקרה מכיל מערך של התראות קשורות ואת הישויות הקשורות שלהן.
ה- API תומך באופרטורים הבאים של OData :
-
$filter
ב-lastUpdateTime
,createdTime
,status
ובמאפייניםassignedTo
-
$top
, עם ערך מרבי של 100 $skip
- גודל העמוד המרבי הוא 100 אירועים.
- שיעור הבקשות המרבי הוא 50 שיחות בדקה ו - 1500 שיחות בשעה.
אחת מההרשאות הבאות נדרשת כדי לקרוא ל- API זה. לקבלת מידע נוסף, כולל כיצד לבחור הרשאות, ראה Access Microsoft Defender XDR API
סוג הרשאה | הרשאה | שם תצוגה של הרשאה |
---|---|---|
יישום | Incident.Read.All | קרא את כל האירועים |
יישום | Incident.ReadWrite.All | קריאה וכתיבה של כל האירועים |
מוסמך (חשבון בעבודה או בבית ספר) | אירוע.קריאה | קריאת אירועים |
מוסמך (חשבון בעבודה או בבית ספר) | Incident.ReadWrite | קריאה וכתיבה של אירועים |
הערה
בעת השגת אסימון באמצעות אישורי משתמש:
- המשתמש צריך להיות בעל הרשאת תצוגה עבור אירועים בפורטל.
- התגובה תכלול רק מקרים שהמשתמש נחשף אליהם.
GET /api/incidents
Name | סוג | תיאור |
---|---|---|
ההרשאות | מחרוזת | נושא {token}. נדרש |
ללא.
אם שיטה זו הצליחה 200 OK
, היא מחזירה את רשימת האירועים בגוף התגובה.
שם שדה | תיאור | ערך לדוגמה |
---|---|---|
מזהה אירוע | מזהה ייחודי לייצוג המקרה | 924565 |
redirectIncidentId | מאוכלס רק במקרה של קיבוץ אירוע יחד עם מקרה אחר, כחלק מהלוגיקה של עיבוד אירוע. | 924569 |
שם אירוע | ערך מחרוזת זמין עבור כל מקרה. | פעילות תוכנת כופר |
createdTime | הזמן שבו נוצרה התקרית לראשונה. | 2020-09-06T14:46:57.0733333Z |
lastUpdateTime | הזמן שבו האירוע עודכן לאחרונה בקצה העורפי. ניתן להשתמש בשדה זה בעת הגדרת פרמטר הבקשה עבור טווח הזמן שבו אירועים מאוחזרים. |
2020-09-06T14:46:57.29Z |
Assignedto | הבעלים של האירוע, או Null אם לא הוקצה בעלים. | secop2@contoso.com |
סיווג | המפרט של המקרה. ערכי המאפיין הם: Unknown, FalsePositive, TruePositive | לא ידוע |
נחישות | מציין את קביעה של המקרה. ערכי המאפיינים הם: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | לא זמין |
מקור זיהוי | מציין את מקור הזיהוי. | Defender עבור יישומי ענן |
מצב | חלק אירועים לקטגוריות (כפעילים או נפתרו). הוא יכול לעזור לך לארגן ולנהל את התגובה שלך לתקריות. | פעילה |
חומרת | מציין את ההשפעה האפשרית על נכסים. כך החומרה גבוהה יותר, כך ההשפעה גדולה יותר. בדרך כלל, פריטי חומרה גבוהים יותר דורשים את תשומת הלב המיידית ביותר. אחד מהערכים הבאים: Informational, Low, *Medium ו- High. |
בינוני |
תגיות | מערך של תגיות מותאמות אישית המשויכות לתקריות, לדוגמה כדי לסמן קבוצת אירועים כמאפיין נפוץ. | [] |
הערות | מערך הערות שנוצרו על-ידי secops בעת ניהול האירוע, לדוגמה מידע נוסף אודות בחירת הסיווג. | [] |
התראות | מערך המכיל את כל ההתראות הקשורות לתקרית, וכן מידע נוסף, כגון חומרה, ישויות שהיו מעורבים בהתראה ומקור ההתראות. | [] (ראה פרטים על שדות ההתראה להלן) |
שם שדה | תיאור | ערך לדוגמה |
---|---|---|
מזהה התראה | מזהה ייחודי לייצוג ההתראה | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
מזהה אירוע | מזהה ייחודי לייצוג המקרה שהתראה זו משויכת לו | 924565 |
מקור שירות | שירות שממנו הגיעה ההתראה, כגון Microsoft Defender עבור נקודת קצה, יישומי ענן של Microsoft Defender, Microsoft Defender עבור זהות, או Microsoft Defender עבור Office 365. | MicrosoftCloudAppSecurity |
זמן יצירה | הזמן שבו ההתראה נוצרה לראשונה. | 2020-09-06T14:46:55.7182276Z |
lastUpdatedTime | הזמן שבו ההתראה עודכנה לאחרונה בקצה העורפי. | 2020-09-06T14:46:57.2433333Z |
resolvedTime | הזמן שבו ההתראה נפתרה. | 2020-09-10T05:22:59Z |
פעילות ראשונה | הזמן שבו ההתראה דיווחה לראשונה שפעילות עודכנה בקצה העורפי. | 2020-09-04T05:22:59Z |
כותרת | מזהה בקצרה את ערך המחרוזת הזמין עבור כל התראה. | פעילות תוכנת כופר |
תיאור | ערך מחרוזת המתאר כל התראה. | המשתמש Test User2 (testUser2@contoso.com) טפל בקבצים של 99 עם סיומות מרובות המסתיימים בסיומת הלא קרובות ללא שינוי. זהו מספר חריג של טיפולים בקובץ והוא מצביע על התקפה פוטנציאלית של תוכנת כופר. |
קטגוריה | תצוגה חזותית ומספרית של התקדמות ההתקפה לאורך שרשרת ההרוגים. מיושר למסגרת MITRE ATT&CK™. | השפעה |
מצב | חלק התראות לקטגוריות ( כחדש, פעיל או נפתר). הוא יכול לעזור לך לארגן ולנהל את התגובה שלך להתראות. | חדש |
חומרת | מציין את ההשפעה האפשרית על נכסים. כך החומרה גבוהה יותר, כך ההשפעה גדולה יותר. בדרך כלל, פריטי חומרה גבוהים יותר דורשים את תשומת הלב המיידית ביותר. אחד מהערכים הבאים: Informational, Low, Medium ו- High. |
בינוני |
מזהה חקירה | מזהה החקירה האוטומטית שהופעל על-ידי התראה זו. | 1234 |
מצב חקירה | מידע על המצב הנוכחי של החקירה. אחד מהערכים הבאים: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, אל תסתיר את זה. | לא נתמךAlertType |
סיווג | המפרט של המקרה. ערכי המאפיין הם: Unknown, FalsePositive, TruePositive או Null | לא ידוע |
נחישות | מציין את קביעה של המקרה. ערכי המאפיינים הם: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other אוNull | אפט |
Assignedto | הבעלים של האירוע, או Null אם לא הוקצה בעלים. | secop2@contoso.com |
שם שחקן | קבוצת הפעילות, אם קיימת, המשויכת להתראה זו. | בורון |
threatFamilyName | משפחת איומים המשויכת להתראה זו. | Null |
mitreTechniques | טכניקות ההתקפה, בהתאם למסגרת MITRE ATT&CK™. | [] |
התקנים | כל המכשירים שבהם נשלחו התראות הקשורות לתקרית. | [] (ראה פרטים על שדות הישות להלן) |
שם שדה | תיאור | ערך לדוגמה |
---|---|---|
מזהה מכשיר | מזהה המכשיר כפי שצוין Microsoft Defender עבור נקודת קצה. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
ירון ירון | מזהה המכשיר כפי שצוין Microsoft Entra מזהה. זמין רק עבור מכשירים המצורפים לתחום. | Null |
deviceDnsName | שם התחום המלא עבור המכשיר. | user5cx.middleeast.corp.contoso.com |
osPlatform | פלטפורמת מערכת ההפעלה הפועלת במכשיר. | WindowsServer2016 |
osBuild | גירסת ה- Build של מערכת ההפעלה הפועלת במכשיר. | 14393 |
rbacGroupName | קבוצת בקרת הגישה מבוססת התפקיד (RBAC) המשויכת למכשיר. | WDATP-Ring0 |
מסך ראשון | הזמן שבו המכשיר נראה לראשונה. | 2020-02-06T14:16:01.9330135Z |
מצב תקינות | מצב התקינות של המכשיר. | פעילה |
טווח סיכונים | ניקוד הסיכון עבור המכשיר. | גבוהה |
ישויות | כל הישויות שזוהו כחלק מההתראה הנתונה או קשורות לה. | [] (ראה פרטים על שדות הישות להלן) |
שם שדה | תיאור | ערך לדוגמה |
---|---|---|
סוג ישות | ישויות שזוהו כחלק מההתראה הנתונה או קשורות לה. ערכי המאפיינים הם: משתמש, IP, כתובת URL, קובץ, תהליך, MailBox, MailMessage, MailCluster, רישום |
משתמש |
עדי תם | זמין אם entityType הוא קובץ. קוד ה- Hash של הקובץ עבור התראות המשויכות לקובץ או לתהליך. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
עדי תם | זמין אם entityType הוא קובץ. קוד ה- Hash של הקובץ עבור התראות המשויכות לקובץ או לתהליך. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
Filename | זמין אם entityType הוא קובץ. שם הקובץ עבור התראות המשויכות לקובץ או לתהליך |
Detector.UnitTests.dll |
קובץPath | זמין אם entityType הוא קובץ. נתיב הקובץ עבור התראות המשויכות לקובץ או לתהליך |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
מזהה תהליך | זמין אם entityType הוא תהליך. | 24348 |
processCommandLine | זמין אם entityType הוא תהליך. | "הקובץ שלך מוכן לDownload_1911150169.exe" |
processCreationTime | זמין אם entityType הוא תהליך. | 2020-07-18T03:25:38.5269993Z |
parentProcessId | זמין אם entityType הוא תהליך. | 16840 |
parentProcessCreationTime | זמין אם entityType הוא תהליך. | 2020-07-18T02:12:32.8616797Z |
כתובת ip | זמין אם entityType הוא IP. כתובת IP עבור התראות המשויכות לאירועי רשת, כגון תקשורת ליעד של רשת זדונית. |
62.216.203.204 |
כתובת url | זמין אם entityType הוא כתובת URL. כתובת URL עבור התראות המשויכות לאירועי רשת, כגון תקשורת ליעד של רשת זדונית. |
down.esales360.cn |
שם חשבון | זמין אם entityType הוא משתמש. | testUser2 |
שם תחום | זמין אם entityType הוא משתמש. | europe.corp.contoso |
מזהה משתמש | זמין אם entityType הוא משתמש. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
דורית ת'ם | זמין אם entityType הוא משתמש. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
userPrincipalName | זמין אם entityType הוא User/MailBox/MailMessage. | testUser2@contoso.com |
mailboxDisplayName | זמין אם entityType הוא MailBox. | test User2 |
תיבת דואר - כתובת | זמין אם entityType הוא User/MailBox/MailMessage. | testUser2@contoso.com |
קיבוץ באשכולות | זמין אם entityType הוא MailCluster. | נושא; P2SenderDomain; סוג תוכן |
השולח | זמין אם entityType הוא User/MailBox/MailMessage. | user.abc@mail.contoso.co.in |
נמען | זמין אם entityType הוא MailMessage. | testUser2@contoso.com |
נושא | זמין אם entityType הוא MailMessage. | [חיצוני] אני לא יכול לעשות את זה. תשומת לב |
הפעולה 'מסירה' | זמין אם entityType הוא MailMessage. | נמסרה |
מזהה קבוצת אבטחה | זמין אם entityType הוא SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
שם קבוצת אבטחה | זמין אם entityType הוא SecurityGroup. | אופרטורים של תצורת רשת |
registryHive | זמין אם entityType הוא רישום. | HKEY_LOCAL_MACHINE |
מפתח רישום | זמין אם entityType הוא רישום. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
registryValueType | זמין אם entityType הוא רישום. | מחרוזת |
ערך רישום | זמין אם entityType הוא רישום. | 31-00-00-00 |
מזהה מכשיר | המזהה, אם בכלל, של המכשיר הקשור לישות. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
GET https://api.security.microsoft.com/api/incidents
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
טיפ
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.