Megosztás a következőn keresztül:

Indicator API beküldése vagy frissítése

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Ha Ön az USA kormányzati szerveinek ügyfele, használja az USA kormányzati ügyfeleinek készült Végponthoz készült Microsoft Defenderben felsorolt URI-kat.

Tipp

A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-leírás

Beküldi vagy frissíti az új Mutató entitást.

Az IP-címek CIDR-jelölése nem támogatott.

Korlátozások

  1. Az API sebességkorlátozásai percenként 100 hívás, óránként 1500 hívás.
  2. Bérlőnként legfeljebb 15 000 aktív mutató lehet.

Engedélyek

Az API meghívásához az alábbi engedélyek egyikére van szükség. További információkért, beleértve az engedélyek kiválasztását is, olvassa el az Első lépések című témakört.

Engedély típusa Engedély Engedély megjelenítendő neve
Alkalmazás Ti.ReadWrite Read and write Indicators
Alkalmazás Ti.ReadWrite.All Read and write All Indicators
Delegált (munkahelyi vagy iskolai fiók) Ti.ReadWrite Read and write Indicators

HTTP-kérés

POST https://api.securitycenter.microsoft.com/api/indicators

Kérelemfejlécek

Name (Név) Típus Leírás
Felhatalmazás Karakterlánc Tulajdonos : {token}. Kötelező megadni.
Tartalomtípus sztring application/json. Kötelező megadni.

Kérelem törzse

A kérelem törzsében adjon meg egy JSON-objektumot a következő paraméterekkel:

Paraméter Típus Leírás
indicatorValue Karakterlánc A Mutató entitás identitása. Kötelező
indicatorType Enumerálás A mutató típusa. Lehetséges értékek: FileSha1, FileMd5, CertificateThumbprint, FileSha256, IpAddress, DomainNameés Url. Kötelező
akció Enumerálás A mutató szervezeten belüli felderítése esetén végrehajtandó művelet. Lehetséges értékek: Alert, Warn, Block, Audit, BlockAndRemediate, AlertAndBlockés Allowed. Kötelező megadni. A GenerateAlert paramétert értékre TRUE kell állítani, amikor műveletet hoz létre a használatával Audit.
alkalmazás Karakterlánc A mutatóhoz társított alkalmazás. Ez a mező csak új mutatók esetén működik. Nem frissíti az értéket egy meglévő mutatón. Nem kötelező
cím Karakterlánc Mutatóriasztás címe. Kötelező
leírás Karakterlánc A mutató leírása. Kötelező
expirationTime DateTimeOffset A mutató lejárati ideje. Nem kötelező
súlyosság Enumerálás A mutató súlyossága. Lehetséges értékek: Informational, Low, Mediumés High. Nem kötelező
recommendedActions Karakterlánc A TI-mutató riasztására vonatkozó ajánlott műveletek. Nem kötelező
rbacGroupNames Karakterlánc Azoknak az RBAC-csoportoknak a vesszővel tagolt listája, amelybe a mutatót alkalmazni szeretné. Nem kötelező
educateUrl Karakterlánc Egyéni értesítés/támogatási URL-cím. Az URL-jelzők blokkolási és figyelmeztetési művelettípusai támogatottak. Nem kötelező
generateAlert Enumerálás Igaz , ha riasztás generálására van szükség, hamis , ha ez a mutató nem generál riasztást.

Válasz

  • Ha sikerült, ez a metódus a 200 – OK válaszkódot és a létrehozott/frissített Indicator entitást adja vissza a válasz törzsében.
  • Ha nem sikerül: ez a metódus a 400 – Hibás kérés értéket adja vissza. A hibás kérés általában helytelen törzset jelez.

Példa

Kérés

Íme egy példa a kérésre.

POST https://api.securitycenter.microsoft.com/api/indicators

{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

Kapcsolódó cikk

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.