Indicator API beküldése vagy frissítése
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Megjegyzés:
Ha Ön az USA kormányzati szerveinek ügyfele, használja az USA kormányzati ügyfeleinek készült Végponthoz készült Microsoft Defenderben felsorolt URI-kat.
Tipp
A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-leírás
Beküldi vagy frissíti az új Mutató entitást.
Az IP-címek CIDR-jelölése nem támogatott.
Korlátozások
- Az API sebességkorlátozásai percenként 100 hívás, óránként 1500 hívás.
- Bérlőnként legfeljebb 15 000 aktív mutató lehet.
Engedélyek
Az API meghívásához az alábbi engedélyek egyikére van szükség. További információkért, beleértve az engedélyek kiválasztását is, olvassa el az Első lépések című témakört.
Engedély típusa | Engedély | Engedély megjelenítendő neve |
---|---|---|
Alkalmazás | Ti.ReadWrite | Read and write Indicators |
Alkalmazás | Ti.ReadWrite.All | Read and write All Indicators |
Delegált (munkahelyi vagy iskolai fiók) | Ti.ReadWrite | Read and write Indicators |
HTTP-kérés
POST https://api.securitycenter.microsoft.com/api/indicators
Kérelemfejlécek
Name (Név) | Típus | Leírás |
---|---|---|
Felhatalmazás | Karakterlánc | Tulajdonos : {token}. Kötelező megadni. |
Tartalomtípus | sztring | application/json. Kötelező megadni. |
Kérelem törzse
A kérelem törzsében adjon meg egy JSON-objektumot a következő paraméterekkel:
Paraméter | Típus | Leírás |
---|---|---|
indicatorValue | Karakterlánc | A Mutató entitás identitása. Kötelező |
indicatorType | Enumerálás | A mutató típusa. Lehetséges értékek: FileSha1 , FileMd5 , CertificateThumbprint , FileSha256 , IpAddress , DomainName és Url .
Kötelező |
akció | Enumerálás | A mutató szervezeten belüli felderítése esetén végrehajtandó művelet. Lehetséges értékek: Alert , Warn , Block , Audit , BlockAndRemediate , AlertAndBlock és Allowed .
Kötelező megadni. A GenerateAlert paramétert értékre TRUE kell állítani, amikor műveletet hoz létre a használatával Audit . |
alkalmazás | Karakterlánc | A mutatóhoz társított alkalmazás. Ez a mező csak új mutatók esetén működik. Nem frissíti az értéket egy meglévő mutatón. Nem kötelező |
cím | Karakterlánc | Mutatóriasztás címe. Kötelező |
leírás | Karakterlánc | A mutató leírása. Kötelező |
expirationTime | DateTimeOffset | A mutató lejárati ideje. Nem kötelező |
súlyosság | Enumerálás | A mutató súlyossága. Lehetséges értékek: Informational , Low , Medium és High .
Nem kötelező |
recommendedActions | Karakterlánc | A TI-mutató riasztására vonatkozó ajánlott műveletek. Nem kötelező |
rbacGroupNames | Karakterlánc | Azoknak az RBAC-csoportoknak a vesszővel tagolt listája, amelybe a mutatót alkalmazni szeretné. Nem kötelező |
educateUrl | Karakterlánc | Egyéni értesítés/támogatási URL-cím. Az URL-jelzők blokkolási és figyelmeztetési művelettípusai támogatottak. Nem kötelező |
generateAlert | Enumerálás | Igaz , ha riasztás generálására van szükség, hamis , ha ez a mutató nem generál riasztást. |
Válasz
- Ha sikerült, ez a metódus a 200 – OK válaszkódot és a létrehozott/frissített Indicator entitást adja vissza a válasz törzsében.
- Ha nem sikerül: ez a metódus a 400 – Hibás kérés értéket adja vissza. A hibás kérés általában helytelen törzset jelez.
Példa
Kérés
Íme egy példa a kérésre.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Kapcsolódó cikk
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.