Megosztás a következőn keresztül:

Indicator API beküldése vagy frissítése

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.

Tipp

A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

API-leírás

Új Mutató entitást küld vagy Frissítések.

Az IP-címek CIDR-jelölése nem támogatott.

Korlátozások

  1. Az API sebességkorlátozásai percenként 100 hívás, óránként 1500 hívás.
  2. Bérlőnként legfeljebb 15 000 aktív mutató lehet.

Engedélyek

Az API meghívásához az alábbi engedélyek egyikére van szükség. További információkért, beleértve az engedélyek kiválasztását is, olvassa el az Első lépések című témakört.

Engedély típusa Engedély Engedély megjelenítendő neve
Alkalmazás Ti.ReadWrite Read and write Indicators
Alkalmazás Ti.ReadWrite.All Read and write All Indicators
Delegált (munkahelyi vagy iskolai fiók) Ti.ReadWrite Read and write Indicators

HTTP-kérés

POST https://api.securitycenter.microsoft.com/api/indicators

Kérelemfejlécek

Name (Név) Típus Leírás
Engedélyezési Karakterlánc Tulajdonos : {token}. Kötelező megadni.
Tartalomtípus Karakterlánc application/json. Kötelező megadni.

Kérelem törzse

A kérelem törzsében adjon meg egy JSON-objektumot a következő paraméterekkel:

Paraméter Típus Leírás
indicatorValue Karakterlánc A Mutató entitás identitása. Kötelező
indicatorType Enum A mutató típusa. Lehetséges értékek: FileSha1, FileMd5, CertificateThumbprint, FileSha256, IpAddress, DomainNameés Url. Kötelező
Akció Enum A mutató szervezeten belüli felderítése esetén végrehajtandó művelet. Lehetséges értékek: Alert, Warn, Block, Audit, BlockAndRemediate, AlertAndBlockés Allowed. Kötelező megadni. A GenerateAlert paramétert értékre TRUE kell állítani, amikor műveletet hoz létre a használatával Audit.
Alkalmazás Karakterlánc A mutatóhoz társított alkalmazás. Ez a mező csak új mutatók esetén működik. Nem frissíti az értéket egy meglévő mutatón. Nem kötelező
Cím Karakterlánc Mutatóriasztás címe. Kötelező
Leírás Karakterlánc A mutató leírása. Kötelező
expirationTime DateTimeOffset A mutató lejárati ideje. Nem kötelező
Súlyossága Enum A mutató súlyossága. Lehetséges értékek: Informational, Low, Mediumés High. Nem kötelező
recommendedActions Karakterlánc A TI-mutató riasztására vonatkozó ajánlott műveletek. Nem kötelező
rbacGroupNames Karakterlánc Azoknak az RBAC-csoportoknak a vesszővel tagolt listája, amelybe a mutatót alkalmazni szeretné. Nem kötelező
educateUrl Karakterlánc Egyéni értesítés/támogatási URL-cím. Az URL-jelzők blokkolási és figyelmeztetési művelettípusai támogatottak. Nem kötelező
generateAlert Enum Igaz , ha riasztás generálására van szükség, hamis , ha ez a mutató nem generál riasztást.

Válasz

  • Ha sikerült, ez a metódus a 200 – OK válaszkódot és a létrehozott/frissített Indicator entitást adja vissza a válasz törzsében.
  • Ha nem sikerül: ez a metódus a 400 – Hibás kérés értéket adja vissza. A hibás kérés általában helytelen törzset jelez.

Példa

Kérés

Íme egy példa a kérésre.

POST https://api.securitycenter.microsoft.com/api/indicators

{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

Kapcsolódó cikk

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.