Share via


Microsoft Defender XDRでインシデント API を一覧表示する

適用対象:

注:

MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

API の説明

list incidents API を使用すると、インシデントを並べ替えて、情報に基づいたサイバーセキュリティ対応を作成できます。 環境保持ポリシーで指定した時間範囲内で、ネットワーク上でフラグが設定されたインシデントのコレクションを公開します。 最新のインシデントが一覧の上部に表示されます。 各インシデントには、関連するアラートとその関連エンティティの配列が含まれています。

API では、次の OData 演算子がサポートされています。

  • $filterlastUpdateTimecreatedTimestatusおよび assignedTo の各プロパティ
  • $topの最大値は 100 です
  • $skip

制限事項

  1. 最大ページ サイズは 100 インシデントです
  2. 要求の最大レートは 、1 分あたり 50 呼び出 しと 1 時間あたり 1500 呼び出しです

アクセス許可

この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「access Microsoft Defender XDR API」を参照してください。

アクセス許可の種類 アクセス許可 アクセス許可の表示名
アプリケーション Incident.Read.All すべてのインシデントの読み取り
アプリケーション Incident.ReadWrite.All すべてのインシデントの読み取りと書き込み
委任 (職場または学校のアカウント) Incident.Read インシデントの読み取り
委任 (職場または学校のアカウント) Incident.ReadWrite インシデントの読み取りと書き込み

注:

ユーザー資格情報を使用してトークンを取得する場合:

  • ユーザーは、ポータルでインシデントの表示アクセス許可を持っている必要があります。
  • 応答には、ユーザーが公開されているインシデントのみが含まれます。

HTTP 要求

GET /api/incidents

要求ヘッダー

名前 説明
Authorization String ベアラー {token}。 必須

要求本文

なし。

応答

成功した場合、このメソッドは 200 OK、 と 応答本文の インシデント の一覧を返します。

スキーマ マッピング

インシデント メタデータ

フィールド名 説明 値の例
incidentId インシデントを表す一意の識別子 924565
redirectIncidentId インシデント処理ロジックの一部として、インシデントが別のインシデントとグループ化されている場合にのみ設定されます。 924569
incidentName すべてのインシデントで使用できる文字列値。 ランサムウェアのアクティビティ
createdTime インシデントが最初に作成された時刻。 2020-09-06T14:46:57.073333Z
lastUpdateTime バックエンドでインシデントが最後に更新された時刻。

このフィールドは、インシデントが取得される時間の範囲に対して要求パラメーターを設定するときに使用できます。

2020-09-06T14:46:57.29Z
assignedTo インシデントの所有者。所有者が割り当てられていない場合は null secop2@contoso.com
classification インシデントの仕様。 プロパティの値は、UnknownFalsePositiveTruePositive です。 不明
決定 インシデントの決定を指定します。 プロパティの値は、 NotAvailableAptMalwareSecurityPersonnelSecurityTestingUnwantedSoftwareOther NotAvailable
detectionSource 検出元を指定します。 Defender for Cloud Apps
status インシデントを分類します ( [アクティブ] または [解決済み])。 インシデントへの対応を整理して管理するのに役立ちます。 アクティブ
severity 資産に与える可能性のある影響を示します。 重大度が高いほど、影響が大きくなります。 通常、重大度が高い項目では、最も早い注意が必要です。

次のいずれかの値: InformationalLow、*Medium、 High

tags インシデントに関連付けられたカスタム タグの配列。たとえば、一般的な特性を持つインシデントのグループにフラグを設定します。 []
comments インシデントを管理するときに secops によって作成されたコメントの配列 (分類の選択に関する追加情報など)。 []
アラート インシデントに関連するすべてのアラートと、重大度、アラートに関与したエンティティ、アラートのソースなどのその他の情報を含む配列。 [] (以下のアラート フィールドの詳細を参照)

アラート メタデータ

フィールド名 説明 値の例
alertId アラートを表す一意の識別子 caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId このアラートが関連付けられているインシデントを表す一意の識別子 924565
serviceSource Microsoft Defender for Endpoint、Microsoft Defender for Cloud Apps、Microsoft Defender for Identity、など、アラートが発生するサービスMicrosoft Defender for Office 365。 MicrosoftCloudAppSecurity
creationTime アラートが最初に作成された時刻。 2020-09-06T14:46:55.7182276Z
lastUpdatedTime バックエンドでアラートが最後に更新された時刻。 2020-09-06T14:46:57.2433333Z
resolvedTime アラートが解決された時刻。 2020-09-10T05:22:59Z
firstActivity アクティビティがバックエンドで更新されたことをアラートが最初に報告した時刻。 2020-09-04T05:22:59Z
title 各アラートで使用できる文字列値を簡単に識別します。 ランサムウェアのアクティビティ
説明 各アラートを記述する文字列値。 ユーザーのテスト User2 (testUser2@contoso.com) は、複数の拡張子を持つ 99 ファイルを操作し、一般的でない拡張子 herunterladen で終わった。 これは通常とは異なる数のファイル操作であり、ランサムウェア攻撃の可能性を示しています。
category キル チェーンに沿って攻撃が進行した距離を視覚的および数値的に表示します。 MITRE ATT&CK™ フレームワークに合わせて調整されます。 影響
status アラートを分類します ( 新規アクティブ、または 解決済み)。 アラートへの応答を整理して管理するのに役立ちます。 新規
severity 資産に与える可能性のある影響を示します。 重大度が高いほど、影響が大きくなります。 通常、重大度が高い項目では、最も早い注意が必要です。
次のいずれかの値: InformationalLowMediumHigh
investigationId このアラートによってトリガーされる自動調査 ID。 1234
investigationState 調査の現在の状態に関する情報。 次のいずれかの値: UnknownTerminatedSuccessfullyRemediatedBenignFailedPartiallyRemediatedRunningPendingApprovalPendingResourcePartiallyInvestigatedTerminatedByUserTerminatedBySystemQueuedInnerFailurePreexistingAlertUnsupportedOs、UnsupportedAlertTypeSuppressedAlert UnsupportedAlertType
classification インシデントの仕様。 プロパティの値は、UnknownFalsePositiveTruePositive、または null です 不明
決定 インシデントの決定を指定します。 プロパティの値は、NotAvailableAptMalwareSecurityPersonnelSecurityTestingUnwantedSoftwareOther または null です Apt
assignedTo インシデントの所有者。所有者が割り当てられていない場合は null secop2@contoso.com
actorName このアラートに関連付けられているアクティビティ グループ (存在する場合)。 ホウ素
threatFamilyName このアラートに関連付けられている脅威ファミリ。 null
mitreTechniques 攻撃手法は、 MITRE ATT&CK™ フレームワークに合わせて調整されています。 []
デバイス インシデントに関連するアラートが送信されたすべてのデバイス。 [] (以下のエンティティ フィールドの詳細を参照)

デバイスの形式

フィールド名 説明 値の例
DeviceId Microsoft Defender for Endpointで指定されているデバイス ID。 24c222b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceId Microsoft Entra IDで指定されているデバイス ID。 ドメインに参加しているデバイスでのみ使用できます。 null
deviceDnsName デバイスの完全修飾ドメイン名。 user5cx.middleeast.corp.contoso.com
osPlatform デバイスが実行されている OS プラットフォーム。 WindowsServer2016
osBuild デバイスが実行されている OS のビルド バージョン。 14393
rbacGroupName デバイスに関連付けられている ロールベースのアクセス制御 (RBAC) グループ。 WDATP-Ring0
firstSeen デバイスが最初に表示された時刻。 2020-02-06T14:16:01.9330135Z
healthStatus デバイスの正常性状態。 アクティブ
riskScore デバイスのリスク スコア。
エンティティ 特定のアラートの一部または関連として識別されたすべてのエンティティ。 [] (以下のエンティティ フィールドの詳細を参照)

エンティティ形式

フィールド名 説明 値の例
Entitytype 特定のアラートの一部または関連として識別されたエンティティ。
プロパティの値は、UserIpUrlFileProcessMailBoxMailMessageMailClusterRegistry です
User
sha1 entityType が File の場合に使用できます。
ファイルまたはプロセスに関連付けられているアラートのファイル ハッシュ。
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 entityType が File の場合に使用できます。
ファイルまたはプロセスに関連付けられているアラートのファイル ハッシュ。
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
fileName entityType が File の場合に使用できます。
ファイルまたはプロセスに関連付けられているアラートのファイル名
Detector.UnitTests.dll
Filepath entityType が File の場合に使用できます。
ファイルまたはプロセスに関連付けられているアラートのファイル パス
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
processId entityType が Process の場合に使用できます。 24348
processCommandLine entityType が Process の場合に使用できます。 "ファイルを Download_1911150169.exe する準備ができました"
processCreationTime entityType が Process の場合に使用できます。 2020-07-18T03:25:38.5269993Z
parentProcessId entityType が Process の場合に使用できます。 16840
parentProcessCreationTime entityType が Process の場合に使用できます。 2020-07-18T02:12:32.8616797Z
ipAddress entityType が Ip の場合に使用できます。
ネットワーク イベントに関連付けられたアラートの IP アドレス ( 悪意のあるネットワーク宛先への通信など)。
62.216.203.204
url entityType が Url の場合に使用できます。
悪意のあるネットワーク宛先への通信など、ネットワーク イベントに関連付けられたアラートの URL。
down.esales360.cn
accountName entityType が User の場合に使用できます。 testUser2
domainName entityType が User の場合に使用できます。 europe.corp.contoso
userSid entityType が User の場合に使用できます。 S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId entityType が User の場合に使用できます。 fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName entityType が User/MailBox/MailMessage の場合に使用できます。 testUser2@contoso.com
mailboxDisplayName entityType が MailBox の場合に使用できます。 User2 をテストする
mailboxAddress entityType が User/MailBox/MailMessage の場合に使用できます。 testUser2@contoso.com
clusterBy entityType が MailCluster の場合に使用できます。 件名;P2SenderDomain;Contenttype
sender entityType が User/MailBox/MailMessage の場合に使用できます。 user.abc@mail.contoso.co.in
受信者 entityType が MailMessage の場合に使用できます。 testUser2@contoso.com
subject entityType が MailMessage の場合に使用できます。 [EXTERNAL]注意
deliveryAction entityType が MailMessage の場合に使用できます。 配信済み
securityGroupId entityType が SecurityGroup の場合に使用できます。 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName entityType が SecurityGroup の場合に使用できます。 ネットワーク構成オペレーター
registryHive entityType が Registry の場合に使用できます。 HKEY_LOCAL_MACHINE
Registrykey entityType が Registry の場合に使用できます。 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType entityType が Registry の場合に使用できます。 String
registryValue entityType が Registry の場合に使用できます。 31-00-00-00
deviceId エンティティに関連するデバイスの ID (存在する場合)。 986e5df8b73dacd43c8917d17e523e76b13c75cd

要求の例

GET https://api.security.microsoft.com/api/incidents

応答の例

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします