Elencare l'API eventi imprevisti in Microsoft Defender XDR
Si applica a:
Nota
Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Descrizione DELL'API
L'API list incidents consente di ordinare gli eventi imprevisti per creare una risposta informata alla cybersecurity. Espone una raccolta di eventi imprevisti contrassegnati nella rete, entro l'intervallo di tempo specificato nei criteri di conservazione dell'ambiente. Gli eventi imprevisti più recenti vengono visualizzati nella parte superiore dell'elenco. Ogni evento imprevisto contiene una matrice di avvisi correlati e le relative entità correlate.
L'API supporta gli operatori OData seguenti:
$filtersullelastUpdateTimeproprietà ,createdTime,statuseassignedTo$top, con un valore massimo di 100$skip
Limitazioni
- Le dimensioni massime della pagina sono 100 eventi imprevisti.
- La frequenza massima delle richieste è di 50 chiamate al minuto e di 1500 chiamate all'ora.
Autorizzazioni
Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, inclusa la scelta delle autorizzazioni, vedere Api di accesso Microsoft Defender XDR
| Tipo di autorizzazione | Autorizzazione | Nome visualizzato autorizzazioni |
|---|---|---|
| Applicazione | Incident.Read.All | Leggere tutti gli eventi imprevisti |
| Applicazione | Incident.ReadWrite.All | Leggere e scrivere tutti gli eventi imprevisti |
| Delegato (account aziendale o dell'istituto di istruzione) | Incident.Read | Leggere gli eventi imprevisti |
| Delegato (account aziendale o dell'istituto di istruzione) | Incident.ReadWrite | Eventi imprevisti di lettura e scrittura |
Nota
Quando si ottiene un token usando le credenziali utente:
- L'utente deve disporre dell'autorizzazione di visualizzazione per gli eventi imprevisti nel portale.
- La risposta includerà solo gli eventi imprevisti a cui l'utente è esposto.
Richiesta HTTP
GET /api/incidents
Intestazioni di richiesta
| Nome | Tipo | Descrizione |
|---|---|---|
| Autorizzazione | Stringa | Bearer {token}. Obbligatorio |
Corpo della richiesta
Nessuna.
Risposta
In caso di esito positivo, questo metodo restituisce 200 OKe un elenco di eventi imprevisti nel corpo della risposta.
Mapping dello schema
Metadati dell'evento imprevisto
| Nome del campo | Descrizione | Valore di esempio |
|---|---|---|
| incidentId | Identificatore univoco per rappresentare l'evento imprevisto | 924565 |
| redirectIncidentId | Popolato solo nel caso in cui un evento imprevisto venga raggruppato insieme a un altro evento imprevisto, come parte della logica di elaborazione degli eventi imprevisti. | 924569 |
| incidentName | Valore stringa disponibile per ogni evento imprevisto. | Attività ransomware |
| createdTime | Ora in cui l'evento imprevisto è stato creato per la prima volta. | 2020-09-06T14:46:57.0733333Z |
| lastUpdateTime | Ora dell'ultimo aggiornamento dell'evento imprevisto nel back-end. Questo campo può essere usato quando si imposta il parametro di richiesta per l'intervallo di tempo in cui vengono recuperati gli eventi imprevisti. |
2020-09-06T14:46:57.29Z |
| assignedTo | Proprietario dell'evento imprevisto o null se non viene assegnato alcun proprietario. | secop2@contoso.com |
| Classificazione | Specifica per l'evento imprevisto. I valori delle proprietà sono: Unknown, FalsePositive, TruePositive | Unknown |
| Determinazione | Specifica la determinazione dell'evento imprevisto. I valori delle proprietà sono: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | NotAvailable |
| detectionSource | Specifica l'origine del rilevamento. | Defender per app cloud |
| stato | Categorizzare gli eventi imprevisti (come attivi o risolti). Può essere utile per organizzare e gestire la risposta agli eventi imprevisti. | Attivazione |
| Gravità | Indica il possibile impatto sugli asset. Maggiore è la gravità, maggiore sarà l'impatto. In genere, gli elementi di gravità più elevata richiedono l'attenzione più immediata. Uno dei valori seguenti: Informational, Low, *Medium e High. |
Medio |
| tag | Matrice di tag personalizzati associati a un evento imprevisto, ad esempio per contrassegnare un gruppo di eventi imprevisti con una caratteristica comune. | [] |
| Commenti | Matrice di commenti creati da secops durante la gestione dell'evento imprevisto, ad esempio informazioni aggiuntive sulla selezione della classificazione. | [] |
| Avvisi | Matrice contenente tutti gli avvisi correlati all'evento imprevisto, oltre ad altre informazioni, ad esempio gravità, entità coinvolte nell'avviso e origine degli avvisi. | [] (vedere i dettagli sui campi degli avvisi di seguito) |
Metadati degli avvisi
| Nome del campo | Descrizione | Valore di esempio |
|---|---|---|
| alertId | Identificatore univoco per rappresentare l'avviso | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| incidentId | Identificatore univoco per rappresentare l'evento imprevisto a cui è associato questo avviso | 924565 |
| serviceSource | Servizio da cui proviene l'avviso, ad esempio Microsoft Defender per endpoint, Microsoft Defender for Cloud Apps, Microsoft Defender per identità o Microsoft Defender per Office 365. | MicrosoftCloudAppSecurity |
| creationTime | Ora di creazione dell'avviso per la prima volta. | 2020-09-06T14:46:55.7182276Z |
| lastUpdatedTime | Ora dell'ultimo aggiornamento dell'avviso nel back-end. | 2020-09-06T14:46:57.243333Z |
| resolvedTime | Ora di risoluzione dell'avviso. | 2020-09-10T05:22:59Z |
| firstActivity | Ora in cui l'avviso ha segnalato per la prima volta che l'attività è stata aggiornata nel back-end. | 2020-09-04T05:22:59Z |
| title | Breve valore stringa di identificazione disponibile per ogni avviso. | Attività ransomware |
| descrizione | Valore stringa che descrive ogni avviso. | L'utente Test User2 (testUser2@contoso.com) ha modificato 99 file con più estensioni che terminano con l'estensione non comune herunterladen. Si tratta di un numero insolito di manipolazioni di file ed è indicativo di un potenziale attacco ransomware. |
| Categoria | Visualizzazione visiva e numerica dell'avanzamento dell'attacco lungo la kill chain. Allineato al framework MITRE ATT&CK™. | Impatto |
| stato | Categorizzare gli avvisi (come Nuovo, Attivo o Risolto). Può essere utile per organizzare e gestire la risposta agli avvisi. | New |
| Gravità | Indica il possibile impatto sugli asset. Maggiore è la gravità, maggiore sarà l'impatto. In genere, gli elementi di gravità più elevata richiedono l'attenzione più immediata. Uno dei valori seguenti: Informativo, Basso, Medio e Alto. |
Medio |
| investigationId | ID di indagine automatizzato attivato da questo avviso. | 1234 |
| investigationState | Informazioni sullo stato corrente dell'indagine. Uno dei valori seguenti: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | UnsupportedAlertType |
| Classificazione | Specifica per l'evento imprevisto. I valori della proprietà sono: Unknown, FalsePositive, TruePositive o Null | Unknown |
| Determinazione | Specifica la determinazione dell'evento imprevisto. I valori della proprietà sono: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other o Null | Appartamento |
| assignedTo | Proprietario dell'evento imprevisto o null se non viene assegnato alcun proprietario. | secop2@contoso.com |
| actorName | Il gruppo di attività, se presente, associato a questo avviso. | BORO |
| threatFamilyName | Famiglia di minacce associata a questo avviso. | null |
| mitreTechniques | Le tecniche di attacco, allineate al framework MITRE ATT&CK™. | [] |
| Dispositivi | Tutti i dispositivi in cui sono stati inviati avvisi correlati all'evento imprevisto. | [] (vedere i dettagli sui campi entità di seguito) |
Formato dispositivo
| Nome del campo | Descrizione | Valore di esempio |
|---|---|---|
| DeviceId | ID dispositivo come indicato in Microsoft Defender per endpoint. | 24c222b0b60fe148eece49ac83910cc6a7ef491 |
| aadDeviceId | ID dispositivo come indicato in Microsoft Entra ID. Disponibile solo per i dispositivi aggiunti a un dominio. | null |
| deviceDnsName | Nome di dominio completo per il dispositivo. | user5cx.middleeast.corp.contoso.com |
| osPlatform | Piattaforma del sistema operativo in esecuzione dal dispositivo. | WindowsServer2016 |
| osBuild | Versione di compilazione per il sistema operativo in esecuzione dal dispositivo. | 14393 |
| rbacGroupName | Gruppo di controllo degli accessi in base al ruolo associato al dispositivo. | WDATP-Ring0 |
| firstSeen | Ora in cui il dispositivo è stato visto per la prima volta. | 2020-02-06T14:16:01.9330135Z |
| healthStatus | Stato di integrità del dispositivo. | Attivazione |
| riskScore | Punteggio di rischio per il dispositivo. | Alto |
| Entità | Tutte le entità identificate come parte o correlate a un determinato avviso. | [] (vedere i dettagli sui campi entità di seguito) |
Formato entità
| Nome del campo | Descrizione | Valore di esempio |
|---|---|---|
| Entitytype | Entità identificate come parte o correlate a un determinato avviso. I valori delle proprietà sono: User, Ip, Url, File, Process, MailBox, MailMessage, MailCluster, Registry |
Utente |
| sha1 | Disponibile se entityType è File. Hash del file per gli avvisi associati a un file o a un processo. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
| sha256 | Disponibile se entityType è File. Hash del file per gli avvisi associati a un file o a un processo. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| Filename | Disponibile se entityType è File. Nome file per gli avvisi associati a un file o a un processo |
Detector.UnitTests.dll |
| Filepath | Disponibile se entityType è File. Percorso del file per gli avvisi associati a un file o a un processo |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| Processid | Disponibile se entityType è Process. | 24348 |
| processCommandLine | Disponibile se entityType è Process. | "Il file è pronto per Download_1911150169.exe" |
| processCreationTime | Disponibile se entityType è Process. | 2020-07-18T03:25:38.5269993Z |
| parentProcessId | Disponibile se entityType è Process. | 16840 |
| parentProcessCreationTime | Disponibile se entityType è Process. | 2020-07-18T02:12:32.8616797Z |
| Ipaddress | Disponibile se entityType è Ip. Indirizzo IP per gli avvisi associati agli eventi di rete, ad esempio Comunicazione a una destinazione di rete dannosa. |
62.216.203.204 |
| Url | Disponibile se entityType è URL. URL per gli avvisi associati agli eventi di rete, ad esempio Comunicazione a una destinazione di rete dannosa. |
down.esales360.cn |
| Accountname | Disponibile se entityType è User. | testUser2 |
| Nomedominio | Disponibile se entityType è User. | europe.corp.contoso |
| userSid | Disponibile se entityType è User. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| aadUserId | Disponibile se entityType è User. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| Userprincipalname | Disponibile se entityType è User/MailBox/MailMessage. | testUser2@contoso.com |
| mailboxDisplayName | Disponibile se entityType è MailBox. | test User2 |
| mailboxAddress | Disponibile se entityType è User/MailBox/MailMessage. | testUser2@contoso.com |
| clusterBy | Disponibile se entityType è MailCluster. | Oggetto; P2SenderDomain; Contenttype |
| mittente | Disponibile se entityType è User/MailBox/MailMessage. | user.abc@mail.contoso.co.in |
| destinatario | Disponibile se entityType è MailMessage. | testUser2@contoso.com |
| subject | Disponibile se entityType è MailMessage. | [EXTERNAL] Attenzione |
| deliveryAction | Disponibile se entityType è MailMessage. | Recapito effettuato |
| securityGroupId | Disponibile se entityType è SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| securityGroupName | Disponibile se entityType è SecurityGroup. | Operatori di configurazione di rete |
| registryHive | Disponibile se entityType è Registry. | HKEY_LOCAL_MACHINE |
| Registrykey | Disponibile se entityType è Registry. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| registryValueType | Disponibile se entityType è Registry. | Stringa |
| registryValue | Disponibile se entityType è Registry. | 31-00-00-00 |
| IDdispositivo | ID, se disponibile, del dispositivo correlato all'entità. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
Esempio
Esempio di richiesta
GET https://api.security.microsoft.com/api/incidents
Esempio di risposta
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Articoli correlati
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.