Import Indicators API
Si applica a:
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Nota
Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.
Consiglio
Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Descrizione DELL'API
Invia o aggiorna batch di entità indicatore .
La notazione CIDR per gli indirizzi IP non è supportata.
Limitazioni
- Le limitazioni di frequenza per questa API sono di 30 chiamate al minuto.
- È previsto un limite di 15.000 indicatori attivi per ogni tenant.
- La dimensione massima del batch per una chiamata API è 500.
Autorizzazioni
Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, incluso come scegliere le autorizzazioni, vedere Introduzione.
| Tipo di autorizzazione | Autorizzazione | Nome visualizzato autorizzazioni |
|---|---|---|
| Applicazione | Ti.ReadWrite | Read and write Indicators |
| Applicazione | Ti.ReadWrite.All | Read and write All Indicators |
| Delegato (account aziendale o dell'istituto di istruzione) | Ti.ReadWrite | Read and write Indicators |
Richiesta HTTP
POST https://api.securitycenter.microsoft.com/api/indicators/import
Intestazioni di richiesta
| Nome | Tipo | Descrizione |
|---|---|---|
| Autorizzazione | Stringa | Bearer {token}. Obbligatorio. |
| Content-Type | stringa | application/json. Obbligatorio. |
Corpo della richiesta
Nel corpo della richiesta specificare un oggetto JSON con i parametri seguenti:
| Parametro | Tipo | Descrizione |
|---|---|---|
| Indicatori | Indicatore elenco<> | Elenco di indicatori. Obbligatorio |
Risposta
- In caso di esito positivo, questo metodo restituisce 200 - OK codice di risposta con un elenco di risultati di importazione per indicatore, vedere l'esempio seguente.
- In caso di esito negativo: questo metodo restituisce 400 - Richiesta non valida. La richiesta non valida indica in genere un corpo non corretto.
Esempio
Esempio di richiesta
Ecco un esempio della richiesta.
POST https://api.securitycenter.microsoft.com/api/indicators/import
{
"Indicators":
[
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "demo",
"application": "demo-test",
"expirationTime": "2021-12-12T00:00:00Z",
"action": "Alert",
"severity": "Informational",
"description": "demo2",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
},
{
"indicatorValue": "2233223322332233223322332233223322332233223322332233223322332222",
"indicatorType": "FileSha256",
"title": "demo2",
"application": "demo-test2",
"expirationTime": "2021-12-12T00:00:00Z",
"action": "Alert",
"severity": "Medium",
"description": "demo2",
"recommendedActions": "nothing",
"rbacGroupNames": []
}
]
}
Esempio di risposta
Ecco un esempio della risposta.
{
"value": [
{
"id": "2841",
"indicator": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"isFailed": false,
"failureReason": null
},
{
"id": "2842",
"indicator": "2233223322332233223322332233223322332233223322332233223322332222",
"isFailed": false,
"failureReason": null
}
]
}
Articolo correlato
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.