Condividi tramite

List Indicators API

  • Articolo

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Nota

Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.

Consiglio

Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Descrizione DELL'API

Recupera una raccolta di tutti gli indicatori attivi.

Supporta le query OData V4.

La query di $filter OData è supportata nelle applicationproprietà , , createdByDisplayName, expirationTimegenerateAlert, title, rbacGroupNames, rbacGroupIds, indicatorValue, , indicatorType, , creationTimeDateTimeUtc, , createdBy, actione severity .
$stop con un valore massimo di 10.000.
$skip.

Vedere gli esempi nelle query OData con Microsoft Defender per endpoint.

Limitazioni

Le limitazioni di frequenza per questa API sono 100 chiamate al minuto e 1.500 chiamate all'ora.

Autorizzazioni

Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, incluso come scegliere le autorizzazioni, vedere Introduzione.

Tipo di autorizzazione Autorizzazione Nome visualizzato autorizzazioni
Applicazione Ti.ReadWrite Read and write Indicators
Applicazione Ti.ReadWrite.All Read and write All Indicators
Delegato (account aziendale o dell'istituto di istruzione) Ti.ReadWrite Read and write Indicators

Richiesta HTTP

GET https://api.securitycenter.microsoft.com/api/indicators

Intestazioni di richiesta

Nome Tipo Descrizione
Autorizzazione Stringa Bearer {token}. Obbligatorio.

Corpo della richiesta

Vuoto

Risposta

In caso di esito positivo, questo metodo restituisce 200 codice di risposta Ok con una raccolta di entità Indicator .

Nota

Se l'applicazione dispone Ti.ReadWrite.All dell'autorizzazione, verrà esposta a tutti gli indicatori. In caso contrario, verrà esposto solo agli indicatori creati.

Esempio 1

Richiesta di esempio 1

Ecco un esempio di richiesta che ottiene tutti gli indicatori.

GET https://api.securitycenter.microsoft.com/api/indicators

Risposta di esempio 1

Ecco un esempio della risposta.

HTTP/1.1 200 Ok
Content-type: application/json
{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
    "value": [
        {
            "id": "995",
            "indicatorValue": "12.13.14.15",
            "indicatorType": "IpAddress",
            "action": "Alert",
            "application": "demo-test",
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T11:15:35.3688259Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "test",
            "rbacGroupNames": []
        },
        {
            "id": "996",
            "indicatorValue": "220e7d15b0b3d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "action": "AlertAndBlock",
            "application": null,
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "TEST",
            "rbacGroupNames": [ "Group1", "Group2" ]
        }
        ...
    ]
}

Esempio 2

Richiesta di esempio 2

Ecco un esempio di una richiesta che ottiene tutti gli indicatori con AlertAndBlock azione.

GET https://api.securitycenter.microsoft.com/api/indicators?$filter=action+eq+'AlertAndBlock'

Risposta di esempio 2

Ecco un esempio della risposta.

HTTP/1.1 200 Ok
Content-type: application/json
{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
    "value": [
        {
            "id": "997",
            "indicatorValue": "111e7d15b0b3d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "action": "AlertAndBlock",
            "application": null,
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "TEST",
            "rbacGroupNames": [ "Group1", "Group2" ]
        }
        ...
    ]
}

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.