Incidensek API listázása az Microsoft Defender XDR
Érintett szolgáltatás:
Megjegyzés:
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
API-leírás
A list incidents API lehetővé teszi az incidensek rendezését, hogy tájékozott kiberbiztonsági választ hozzon létre. A hálózatban megjelölt incidensek gyűjteményét teszi elérhetővé a környezeti adatmegőrzési szabályzatban megadott időtartományon belül. A legutóbbi incidensek a lista tetején jelennek meg. Minden incidens a kapcsolódó riasztások és azok kapcsolódó entitásainak tömbje.
Az API a következő OData-operátorokat támogatja:
$filter
alastUpdateTime
,createdTime
,status
ésassignedTo
tulajdonságokon$top
, a maximális értéke 100$skip
Korlátozások
- A maximális oldalméret 100 incidens.
- A kérelmek maximális száma percenként 50 hívás , óránként pedig 1500 hívás.
Engedélyek
Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Access Microsoft Defender XDR API-k
Engedély típusa | Engedély | Engedély megjelenítendő neve |
---|---|---|
Alkalmazás | Incident.Read.All | Az összes incidens olvasása |
Alkalmazás | Incident.ReadWrite.All | Az összes incidens olvasása és írása |
Delegált (munkahelyi vagy iskolai fiók) | Incident.Read | Incidensek olvasása |
Delegált (munkahelyi vagy iskolai fiók) | Incident.ReadWrite | Incidensek olvasása és írása |
Megjegyzés:
Jogkivonat felhasználói hitelesítő adatokkal történő beszerzésekor:
- A felhasználónak megtekintési engedéllyel kell rendelkeznie az incidensekhez a portálon.
- A válasz csak azokat az incidenseket tartalmazza, amelyeknek a felhasználónak ki van téve.
HTTP-kérés
GET /api/incidents
Kérelemfejlécek
Name (Név) | Típus | Leírás |
---|---|---|
Engedélyezési | Karakterlánc | Tulajdonos : {token}. Kötelező |
Kérelem törzse
Nincs.
Válasz
Ha a metódus sikeres, a visszaadja a parancsot 200 OK
, valamint a válasz törzsében található incidensek listáját.
Sémaleképezés
Incidens metaadatai
Mező neve | Leírás | Példaérték |
---|---|---|
incidentId | Az incidenst jelképezendő egyedi azonosító | 924565 |
redirectIncidentId | Csak akkor töltődik fel, ha egy incidenst egy másik incidenssel együtt csoportosítanak az incidensfeldolgozási logika részeként. | 924569 |
incidentName | Minden incidenshez elérhető sztringérték. | Zsarolóprogramokkal kapcsolatos tevékenység |
createdTime | Az incidens első létrehozásának időpontja. | 2020-09-06T14:46:57.0733333Z |
lastUpdateTime | Az incidens utolsó frissítésének időpontja a háttérrendszeren. Ez a mező akkor használható, ha az incidensek lekérésének időtartamára állítja be a kérelemparamétert. |
2020-09-06T14:46:57.29Z |
assignedTo | Az incidens tulajdonosa, vagy null értékű, ha nincs tulajdonos hozzárendelve. | secop2@contoso.com |
Osztályozás | Az incidens specifikációja. A tulajdonságértékek a következők: Unknown, FalsePositive, TruePositive | Ismeretlen |
Meghatározása | Meghatározza az incidens meghatározását. A tulajdonságértékek a következők: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | Nem érhető el |
detectionSource | Meghatározza az észlelés forrását. | Defender for Cloud Apps |
Állapot | Az incidensek kategorizálása ( aktívként vagy megoldva). Segítségével rendszerezheti és kezelheti az incidensekre adott válaszokat. | Aktív |
Súlyossága | Az eszközökre gyakorolt lehetséges hatást jelzi. Minél nagyobb a súlyosság, annál nagyobb a hatás. Általában a nagyobb súlyosságú elemek azonnali beavatkozást igényelnek. Az alábbi értékek egyike: Tájékoztató, Alacsony, *Közepes és Magas. |
Közepes |
Címkék | Az incidenshez társított egyéni címkék tömbje, például az incidensek egy csoportjának megjelölése közös jellemzőkkel. | [] |
Hozzászólások | A secops által az incidens kezelésekor létrehozott megjegyzések tömbje, például további információk a besorolás kiválasztásáról. | [] |
Figyelmeztetések | Tömb, amely tartalmazza az incidenshez kapcsolódó összes riasztást, valamint egyéb információkat, például a súlyosságot, a riasztásban érintett entitásokat és a riasztások forrását. | [] (lásd alább a riasztási mezők részleteit) |
Riasztások metaadatai
Mező neve | Leírás | Példaérték |
---|---|---|
alertId | A riasztást jelképezendő egyedi azonosító | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
incidentId | Egyedi azonosító, amely azt az incidenst jelöli, amelyhez a riasztás társítva van | 924565 |
serviceSource | Szolgáltatás, amelyről a riasztás származik, például Végponthoz készült Microsoft Defender, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity vagy Office 365-höz készült Microsoft Defender. | MicrosoftCloudAppSecurity |
creationTime | A riasztás első létrehozásának időpontja. | 2020-09-06T14:46:55.7182276Z |
lastUpdatedTime | A riasztás utolsó frissítésének időpontja a háttérrendszerben. | 2020-09-06T14:46:57.2433333Z |
resolvedTime | A riasztás feloldásának időpontja. | 2020-09-10T05:22:59Z |
firstActivity | Az az időpont, amikor a riasztás először jelentette, hogy a tevékenység frissült a háttérrendszerben. | 2020-09-04T05:22:59Z |
Cím | Az egyes riasztásokhoz elérhető sztringérték rövid azonosítása. | Zsarolóprogramokkal kapcsolatos tevékenység |
Leírás | Az egyes riasztásokat leíró sztringérték. | A test User2 (testUser2@contoso.com) felhasználó 99 fájlt manipulált, több kiterjesztéssel, ami a ritka herunterladen kiterjesztéssel végződött. Ez a fájlmanipulációk szokatlan száma, és potenciális zsarolóprogram-támadásra utal. |
Kategória | Vizuális és numerikus nézet a támadás előrehaladásáról a leölési lánc mentén. A MITRE ATT&CK-keretrendszerhez™ igazítva. | Hatása |
Állapot | A riasztások kategorizálása ( Új, Aktív vagy Megoldott). Segítségével rendszerezheti és kezelheti a riasztásokra adott válaszokat. | Új |
Súlyossága | Az eszközökre gyakorolt lehetséges hatást jelzi. Minél nagyobb a súlyosság, annál nagyobb a hatás. Általában a nagyobb súlyosságú elemek azonnali beavatkozást igényelnek. Az alábbi értékek egyike: Tájékoztató, Alacsony, Közepes és Magas. |
Közepes |
investigationId | A riasztás által aktivált automatizált vizsgálati azonosító. | 1234 |
investigationState | Információ a vizsgálat aktuális állapotáról. Az alábbi értékek egyike: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | Nem támogatottAlertType |
Osztályozás | Az incidens specifikációja. A tulajdonságértékek a következők: Ismeretlen, FalsePositive, TruePositive vagy null | Ismeretlen |
Meghatározása | Meghatározza az incidens meghatározását. A tulajdonságértékek a következők: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other vagy null | Apt |
assignedTo | Az incidens tulajdonosa, vagy null értékű, ha nincs tulajdonos hozzárendelve. | secop2@contoso.com |
actorName | A riasztáshoz társított tevékenységcsoport( ha van ilyen). | BÓR |
threatFamilyName | A riasztáshoz társított fenyegetéscsalád. | Null |
mitreTechniques | A támadási technikák a MITRE ATT&CK-keretrendszerhez™ igazodva. | [] |
Eszközök | Minden olyan eszköz, amelyen az incidenssel kapcsolatos riasztások lettek elküldve. | [] (lásd alább az entitásmezők részleteit) |
Eszközformátum
Mező neve | Leírás | Példaérték |
---|---|---|
Deviceid | A Végponthoz készült Microsoft Defender megadott eszközazonosító. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
aadDeviceId | A Microsoft Entra ID megadott eszközazonosító. Csak tartományhoz csatlakoztatott eszközökhöz érhető el. | Null |
deviceDnsName | Az eszköz teljes tartományneve. | user5cx.middleeast.corp.contoso.com |
osPlatform | Az eszköz operációsrendszer-platformja. | WindowsServer2016 |
osBuild | Az eszköz által futtatott operációs rendszer buildverziója. | 14393 |
rbacGroupName | Az eszközhöz társított szerepköralapú hozzáférés-vezérlési (RBAC-) csoport. | WDATP-Ring0 |
firstSeen | Az eszköz első megtekintésekor eltelt idő. | 2020-02-06T14:16:01.9330135Z |
healthStatus | Az eszköz állapota. | Aktív |
riskScore | Az eszköz kockázati pontszáma. | Magas |
Entitások | Minden olyan entitás, amelyet azonosítottak, hogy egy adott riasztás része vagy ahhoz kapcsolódik. | [] (lásd alább az entitásmezők részleteit) |
Entitásformátum
Mező neve | Leírás | Példaérték |
---|---|---|
entityType | Egy adott riasztás részét képező vagy ahhoz kapcsolódó entitások. A tulajdonságok értékei a következők: User, IP, URL, File, Process, MailBox, MailMessage, MailCluster, Registry |
Felhasználó |
sha1 | Akkor érhető el, ha az entityType fájl. Egy fájlhoz vagy folyamathoz társított riasztások fájlkivonata. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
sha256 | Akkor érhető el, ha az entityType fájl. Egy fájlhoz vagy folyamathoz társított riasztások fájlkivonata. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
Fájlnév | Akkor érhető el, ha az entityType fájl. A fájlhoz vagy folyamathoz társított riasztások fájlneve |
Detector.UnitTests.dll |
filePath | Akkor érhető el, ha az entityType fájl. Egy fájlhoz vagy folyamathoz társított riasztások fájlelérési útja |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
processId | Akkor érhető el, ha az entityType folyamat. | 24348 |
processCommandLine | Akkor érhető el, ha az entityType folyamat. | "A fájl készen áll a Download_1911150169.exe" |
processCreationTime | Akkor érhető el, ha az entityType folyamat. | 2020-07-18T03:25:38.5269993Z |
parentProcessId | Akkor érhető el, ha az entityType folyamat. | 16840 |
parentProcessCreationTime | Akkor érhető el, ha az entityType folyamat. | 2020-07-18T02:12:32.8616797Z |
ipAddress | Akkor érhető el, ha az entityType ip. A hálózati eseményekhez kapcsolódó riasztások IP-címe, például a rosszindulatú hálózati cél felé irányuló kommunikáció. |
62.216.203.204 |
Url | Akkor érhető el, ha az entityType url. A hálózati eseményekhez kapcsolódó riasztások URL-címe, például a rosszindulatú hálózati cél felé irányuló kommunikáció. |
down.esales360.cn |
Accountname | Akkor érhető el, ha az entityType felhasználó. | testUser2 |
Tartománynév | Akkor érhető el, ha az entityType felhasználó. | europe.corp.contoso |
userSid | Akkor érhető el, ha az entityType felhasználó. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
aadUserId | Akkor érhető el, ha az entityType felhasználó. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
userPrincipalName | Akkor érhető el, ha az entityType a User/MailBox/MailMessage. | testUser2@contoso.com |
mailboxDisplayName | Akkor érhető el, ha az entityType a MailBox. | felhasználó tesztelése2 |
postaládaCím | Akkor érhető el, ha az entityType a User/MailBox/MailMessage. | testUser2@contoso.com |
clusterBy | Akkor érhető el, ha az entityType a MailCluster. | Tárgy; P2SenderDomain; ContentType |
Feladó | Akkor érhető el, ha az entityType a User/MailBox/MailMessage. | user.abc@mail.contoso.co.in |
Címzett | Akkor érhető el, ha az entityType a MailMessage. | testUser2@contoso.com |
Tárgy | Akkor érhető el, ha az entityType a MailMessage. | [KÜLSŐ] Figyelmet |
deliveryAction | Akkor érhető el, ha az entityType a MailMessage. | Szállított |
securityGroupId | Akkor érhető el, ha az entityType a SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
securityGroupName | Akkor érhető el, ha az entityType a SecurityGroup. | Hálózati konfigurációs operátorok |
registryHive | Akkor érhető el, ha az entityType beállításjegyzék. | HKEY_LOCAL_MACHINE |
registryKey | Akkor érhető el, ha az entityType beállításjegyzék. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
registryValueType | Akkor érhető el, ha az entityType beállításjegyzék. | Karakterlánc |
registryValue | Akkor érhető el, ha az entityType beállításjegyzék. | 31-00-00-00 |
Deviceid | Az entitáshoz kapcsolódó eszköz azonosítója( ha van ilyen). | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
Példa
Példa kérésre
GET https://api.security.microsoft.com/api/incidents
Példa válaszra
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Kapcsolódó cikkek
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.