API Invia o Aggiorna indicatore
Si applica a:
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Nota
Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.
Consiglio
Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Descrizione DELL'API
Invia o aggiorna la nuova entità Indicatore .
La notazione CIDR per gli indirizzi IP non è supportata.
Limitazioni
- Le limitazioni di frequenza per questa API sono 100 chiamate al minuto e 1.500 chiamate all'ora.
- È previsto un limite di 15.000 indicatori attivi per tenant.
Autorizzazioni
Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, incluso come scegliere le autorizzazioni, vedere Introduzione.
| Tipo di autorizzazione | Autorizzazione | Nome visualizzato autorizzazioni |
|---|---|---|
| Applicazione | Ti.ReadWrite | Read and write Indicators |
| Applicazione | Ti.ReadWrite.All | Read and write All Indicators |
| Delegato (account aziendale o dell'istituto di istruzione) | Ti.ReadWrite | Read and write Indicators |
Richiesta HTTP
POST https://api.securitycenter.microsoft.com/api/indicators
Intestazioni di richiesta
| Nome | Tipo | Descrizione |
|---|---|---|
| Autorizzazione | Stringa | Bearer {token}. Obbligatorio. |
| Content-Type | stringa | application/json. Obbligatorio. |
Corpo della richiesta
Nel corpo della richiesta specificare un oggetto JSON con i parametri seguenti:
| Parametro | Tipo | Descrizione |
|---|---|---|
| indicatorValue | Stringa | Identità dell'entità Indicator . Obbligatorio |
| indicatorType | Enumerazione | Tipo dell'indicatore. I valori possibili sono: FileSha1, FileMd5, CertificateThumbprint, FileSha256, IpAddress, DomainNamee Url.
Obbligatorio |
| action | Enumerazione | Azione eseguita se l'indicatore viene individuato nell'organizzazione. I valori possibili sono: Alert, Warn, Block, Audit, BlockAndRemediate, AlertAndBlocke Allowed.
Obbligatorio. Il GenerateAlert parametro deve essere impostato su TRUE quando si crea un'azione con Audit. |
| applicazione | Stringa | Applicazione associata all'indicatore. Questo campo funziona solo per i nuovi indicatori. Non aggiorna il valore in un indicatore esistente. Opzionale |
| title | Stringa | Titolo dell'avviso dell'indicatore. Obbligatorio |
| descrizione | Stringa | Descrizione dell'indicatore. Obbligatorio |
| expirationTime | DateTimeOffset | Ora di scadenza dell'indicatore. Opzionale |
| severità | Enumerazione | Gravità dell'indicatore. I valori possibili sono: Informational, Low, Mediume High.
Opzionale |
| recommendedActions | Stringa | Azioni consigliate per l'avviso dell'indicatore TI. Opzionale |
| rbacGroupNames | Stringa | Elenco delimitato da virgole dei nomi dei gruppi di controllo degli accessi in base al ruolo a cui verrà applicato l'indicatore. Opzionale |
| educateUrl | Stringa | URL di notifica/supporto personalizzato. Supportato per i tipi di azione Blocca e Avvisa per gli indicatori URL. Opzionale |
| generateAlert | Enumerazione | True se è necessaria la generazione di avvisi, False se questo indicatore non deve generare un avviso. |
Risposta
- In caso di esito positivo, questo metodo restituisce il codice di risposta 200 - OK e l'entità Indicator creata/aggiornata nel corpo della risposta.
- In caso di esito negativo: questo metodo restituisce 400 - Richiesta non valida. La richiesta non valida indica in genere un corpo non corretto.
Esempio
Richiesta
Ecco un esempio della richiesta.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Articolo correlato
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.