Megosztás a következőn keresztül:


Incidensek API listázása az Microsoft Defender XDR

Érintett szolgáltatás:

Megjegyzés:

Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

API-leírás

A list incidents API lehetővé teszi az incidensek rendezését, hogy tájékozott kiberbiztonsági választ hozzon létre. A hálózatban megjelölt incidensek gyűjteményét teszi elérhetővé a környezeti adatmegőrzési szabályzatban megadott időtartományon belül. A legutóbbi incidensek a lista tetején jelennek meg. Minden incidens a kapcsolódó riasztások és azok kapcsolódó entitásainak tömbje.

Az API a következő OData-operátorokat támogatja:

  • $filter a lastUpdateTime, createdTime, statusés assignedTo tulajdonságokon
  • $top, a maximális értéke 100
  • $skip

Korlátozások

  1. A maximális oldalméret 100 incidens.
  2. A kérelmek maximális száma percenként 50 hívás , óránként pedig 1500 hívás.

Engedélyek

Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Access Microsoft Defender XDR API-k

Engedély típusa Engedély Engedély megjelenítendő neve
Alkalmazás Incident.Read.All Az összes incidens olvasása
Alkalmazás Incident.ReadWrite.All Az összes incidens olvasása és írása
Delegált (munkahelyi vagy iskolai fiók) Incident.Read Incidensek olvasása
Delegált (munkahelyi vagy iskolai fiók) Incident.ReadWrite Incidensek olvasása és írása

Megjegyzés:

Jogkivonat felhasználói hitelesítő adatokkal történő beszerzésekor:

  • A felhasználónak megtekintési engedéllyel kell rendelkeznie az incidensekhez a portálon.
  • A válasz csak azokat az incidenseket tartalmazza, amelyeknek a felhasználónak ki van téve.

HTTP-kérés

GET /api/incidents

Kérelemfejlécek

Name (Név) Típus Leírás
Engedélyezési Karakterlánc Tulajdonos : {token}. Kötelező

Kérelem törzse

Nincs.

Válasz

Ha a metódus sikeres, a visszaadja a parancsot 200 OK, valamint a válasz törzsében található incidensek listáját.

Sémaleképezés

Incidens metaadatai

Mező neve Leírás Példaérték
incidentId Az incidenst jelképezendő egyedi azonosító 924565
redirectIncidentId Csak akkor töltődik fel, ha egy incidenst egy másik incidenssel együtt csoportosítanak az incidensfeldolgozási logika részeként. 924569
incidentName Minden incidenshez elérhető sztringérték. Zsarolóprogramokkal kapcsolatos tevékenység
createdTime Az incidens első létrehozásának időpontja. 2020-09-06T14:46:57.0733333Z
lastUpdateTime Az incidens utolsó frissítésének időpontja a háttérrendszeren.

Ez a mező akkor használható, ha az incidensek lekérésének időtartamára állítja be a kérelemparamétert.

2020-09-06T14:46:57.29Z
assignedTo Az incidens tulajdonosa, vagy null értékű, ha nincs tulajdonos hozzárendelve. secop2@contoso.com
Osztályozás Az incidens specifikációja. A tulajdonságértékek a következők: Unknown, FalsePositive, TruePositive Ismeretlen
Meghatározása Meghatározza az incidens meghatározását. A tulajdonságértékek a következők: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other Nem érhető el
detectionSource Meghatározza az észlelés forrását. Defender for Cloud Apps
Állapot Az incidensek kategorizálása ( aktívként vagy megoldva). Segítségével rendszerezheti és kezelheti az incidensekre adott válaszokat. Aktív
Súlyossága Az eszközökre gyakorolt lehetséges hatást jelzi. Minél nagyobb a súlyosság, annál nagyobb a hatás. Általában a nagyobb súlyosságú elemek azonnali beavatkozást igényelnek.

Az alábbi értékek egyike: Tájékoztató, Alacsony, *Közepes és Magas.

Közepes
Címkék Az incidenshez társított egyéni címkék tömbje, például az incidensek egy csoportjának megjelölése közös jellemzőkkel. []
Hozzászólások A secops által az incidens kezelésekor létrehozott megjegyzések tömbje, például további információk a besorolás kiválasztásáról. []
Figyelmeztetések Tömb, amely tartalmazza az incidenshez kapcsolódó összes riasztást, valamint egyéb információkat, például a súlyosságot, a riasztásban érintett entitásokat és a riasztások forrását. [] (lásd alább a riasztási mezők részleteit)

Riasztások metaadatai

Mező neve Leírás Példaérték
alertId A riasztást jelképezendő egyedi azonosító caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId Egyedi azonosító, amely azt az incidenst jelöli, amelyhez a riasztás társítva van 924565
serviceSource Szolgáltatás, amelyről a riasztás származik, például Végponthoz készült Microsoft Defender, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity vagy Office 365-höz készült Microsoft Defender. MicrosoftCloudAppSecurity
creationTime A riasztás első létrehozásának időpontja. 2020-09-06T14:46:55.7182276Z
lastUpdatedTime A riasztás utolsó frissítésének időpontja a háttérrendszerben. 2020-09-06T14:46:57.2433333Z
resolvedTime A riasztás feloldásának időpontja. 2020-09-10T05:22:59Z
firstActivity Az az időpont, amikor a riasztás először jelentette, hogy a tevékenység frissült a háttérrendszerben. 2020-09-04T05:22:59Z
Cím Az egyes riasztásokhoz elérhető sztringérték rövid azonosítása. Zsarolóprogramokkal kapcsolatos tevékenység
Leírás Az egyes riasztásokat leíró sztringérték. A test User2 (testUser2@contoso.com) felhasználó 99 fájlt manipulált, több kiterjesztéssel, ami a ritka herunterladen kiterjesztéssel végződött. Ez a fájlmanipulációk szokatlan száma, és potenciális zsarolóprogram-támadásra utal.
Kategória Vizuális és numerikus nézet a támadás előrehaladásáról a leölési lánc mentén. A MITRE ATT&CK-keretrendszerhez™ igazítva. Hatása
Állapot A riasztások kategorizálása ( Új, Aktív vagy Megoldott). Segítségével rendszerezheti és kezelheti a riasztásokra adott válaszokat. Új
Súlyossága Az eszközökre gyakorolt lehetséges hatást jelzi. Minél nagyobb a súlyosság, annál nagyobb a hatás. Általában a nagyobb súlyosságú elemek azonnali beavatkozást igényelnek.
Az alábbi értékek egyike: Tájékoztató, Alacsony, Közepes és Magas.
Közepes
investigationId A riasztás által aktivált automatizált vizsgálati azonosító. 1234
investigationState Információ a vizsgálat aktuális állapotáról. Az alábbi értékek egyike: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. Nem támogatottAlertType
Osztályozás Az incidens specifikációja. A tulajdonságértékek a következők: Ismeretlen, FalsePositive, TruePositive vagy null Ismeretlen
Meghatározása Meghatározza az incidens meghatározását. A tulajdonságértékek a következők: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other vagy null Apt
assignedTo Az incidens tulajdonosa, vagy null értékű, ha nincs tulajdonos hozzárendelve. secop2@contoso.com
actorName A riasztáshoz társított tevékenységcsoport( ha van ilyen). BÓR
threatFamilyName A riasztáshoz társított fenyegetéscsalád. Null
mitreTechniques A támadási technikák a MITRE ATT&CK-keretrendszerhez™ igazodva. []
Eszközök Minden olyan eszköz, amelyen az incidenssel kapcsolatos riasztások lettek elküldve. [] (lásd alább az entitásmezők részleteit)

Eszközformátum

Mező neve Leírás Példaérték
Deviceid A Végponthoz készült Microsoft Defender megadott eszközazonosító. 24c222b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceId A Microsoft Entra ID megadott eszközazonosító. Csak tartományhoz csatlakoztatott eszközökhöz érhető el. Null
deviceDnsName Az eszköz teljes tartományneve. user5cx.middleeast.corp.contoso.com
osPlatform Az eszköz operációsrendszer-platformja. WindowsServer2016
osBuild Az eszköz által futtatott operációs rendszer buildverziója. 14393
rbacGroupName Az eszközhöz társított szerepköralapú hozzáférés-vezérlési (RBAC-) csoport. WDATP-Ring0
firstSeen Az eszköz első megtekintésekor eltelt idő. 2020-02-06T14:16:01.9330135Z
healthStatus Az eszköz állapota. Aktív
riskScore Az eszköz kockázati pontszáma. Magas
Entitások Minden olyan entitás, amelyet azonosítottak, hogy egy adott riasztás része vagy ahhoz kapcsolódik. [] (lásd alább az entitásmezők részleteit)

Entitásformátum

Mező neve Leírás Példaérték
entityType Egy adott riasztás részét képező vagy ahhoz kapcsolódó entitások.
A tulajdonságok értékei a következők: User, IP, URL, File, Process, MailBox, MailMessage, MailCluster, Registry
Felhasználó
sha1 Akkor érhető el, ha az entityType fájl.
Egy fájlhoz vagy folyamathoz társított riasztások fájlkivonata.
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 Akkor érhető el, ha az entityType fájl.
Egy fájlhoz vagy folyamathoz társított riasztások fájlkivonata.
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
Fájlnév Akkor érhető el, ha az entityType fájl.
A fájlhoz vagy folyamathoz társított riasztások fájlneve
Detector.UnitTests.dll
filePath Akkor érhető el, ha az entityType fájl.
Egy fájlhoz vagy folyamathoz társított riasztások fájlelérési útja
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
processId Akkor érhető el, ha az entityType folyamat. 24348
processCommandLine Akkor érhető el, ha az entityType folyamat. "A fájl készen áll a Download_1911150169.exe"
processCreationTime Akkor érhető el, ha az entityType folyamat. 2020-07-18T03:25:38.5269993Z
parentProcessId Akkor érhető el, ha az entityType folyamat. 16840
parentProcessCreationTime Akkor érhető el, ha az entityType folyamat. 2020-07-18T02:12:32.8616797Z
ipAddress Akkor érhető el, ha az entityType ip.
A hálózati eseményekhez kapcsolódó riasztások IP-címe, például a rosszindulatú hálózati cél felé irányuló kommunikáció.
62.216.203.204
Url Akkor érhető el, ha az entityType url.
A hálózati eseményekhez kapcsolódó riasztások URL-címe, például a rosszindulatú hálózati cél felé irányuló kommunikáció.
down.esales360.cn
Accountname Akkor érhető el, ha az entityType felhasználó. testUser2
Tartománynév Akkor érhető el, ha az entityType felhasználó. europe.corp.contoso
userSid Akkor érhető el, ha az entityType felhasználó. S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId Akkor érhető el, ha az entityType felhasználó. fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName Akkor érhető el, ha az entityType a User/MailBox/MailMessage. testUser2@contoso.com
mailboxDisplayName Akkor érhető el, ha az entityType a MailBox. felhasználó tesztelése2
postaládaCím Akkor érhető el, ha az entityType a User/MailBox/MailMessage. testUser2@contoso.com
clusterBy Akkor érhető el, ha az entityType a MailCluster. Tárgy; P2SenderDomain; ContentType
Feladó Akkor érhető el, ha az entityType a User/MailBox/MailMessage. user.abc@mail.contoso.co.in
Címzett Akkor érhető el, ha az entityType a MailMessage. testUser2@contoso.com
Tárgy Akkor érhető el, ha az entityType a MailMessage. [KÜLSŐ] Figyelmet
deliveryAction Akkor érhető el, ha az entityType a MailMessage. Szállított
securityGroupId Akkor érhető el, ha az entityType a SecurityGroup. 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName Akkor érhető el, ha az entityType a SecurityGroup. Hálózati konfigurációs operátorok
registryHive Akkor érhető el, ha az entityType beállításjegyzék. HKEY_LOCAL_MACHINE
registryKey Akkor érhető el, ha az entityType beállításjegyzék. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType Akkor érhető el, ha az entityType beállításjegyzék. Karakterlánc
registryValue Akkor érhető el, ha az entityType beállításjegyzék. 31-00-00-00
Deviceid Az entitáshoz kapcsolódó eszköz azonosítója( ha van ilyen). 986e5df8b73dacd43c8917d17e523e76b13c75cd

Példa

Példa kérésre

GET https://api.security.microsoft.com/api/incidents

Példa válaszra

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.