インジケーター リソースの種類
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft 365 Defender
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
注:
米国政府機関のお客様の場合は、米国政府機関のお客様のMicrosoft Defender for Endpointに記載されている URI を使用してください。
ヒント
パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
- api-au.securitycenter.microsoft.com
- ポータルの対応する [インジケーター] ページ を参照してください。
| メソッド | 戻り値の型 | 説明 |
|---|---|---|
| インジケーターの一覧表示 | インジケーター コレクション | インジケーター エンティティを一覧表示します。 |
| インジケーターの送信 | インジケーター | Indicator エンティティを送信または更新します。 |
| インジケーターのインポート | インジケーター コレクション | Indicators エンティティを送信または更新します。 |
| インジケーターの削除 | コンテンツはありません | インジケーター エンティティを削除します。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| id | 文字列 | Indicator エンティティの ID。 |
| indicatorValue | 文字列 | インジケーターの値。 |
| indicatorType | 列挙 | インジケーターの種類。 使用可能な値は、"FileSha1"、"FileSha256"、"FileMd5"、"CertificateThumbprint"、"IpAddress"、"DomainName"、"Url" です。 |
| アプリケーション | 文字列 | インジケーターに関連付けられているアプリケーション。 |
| action | 列挙 | インジケーターがorganizationで検出された場合に実行されるアクション。 使用可能な値は、"Warn"、"Block"、"Audit"、"Alert"、"AlertAndBlock"、"BlockAndRemediate"、"Allowed" です。 |
| externalID | 文字列 | 顧客がカスタム相関関係の要求で送信できる ID。 |
| sourceType | 列挙 | ユーザーによって作成されたインジケーター (ポータルなど) の場合は "ユーザー"、API 経由で自動アプリケーションを使用して送信された場合の "AadApp"。 |
| createdBySource | 文字列 | インジケーターを送信したユーザー/アプリケーションの名前。 |
| createdBy | String | インジケーターを送信したユーザー/アプリケーションの一意の ID。 |
| lastUpdatedBy | 文字列 | インジケーターを最後に更新したユーザー/アプリケーションの ID。 |
| creationTimeDateTimeUtc | DateTimeOffset | インジケーターが作成された日時。 |
| expirationTime | DateTimeOffset | インジケーターの有効期限。 |
| lastUpdateTime | DateTimeOffset | インジケーターが最後に更新された時刻。 |
| severity | 列挙 | インジケーターの重大度。 可能な値は、"Informational"、"Low"、"Medium"、"High" です。 |
| title | String | インジケーター のタイトル。 |
| 説明 | String | インジケーターの説明。 |
| recommendedActions | 文字列 | インジケーターに推奨されるアクション。 |
| rbacGroupNames | 文字列の一覧 | インジケーターが公開され、アクティブな RBAC デバイス グループ名。 すべてのデバイスに公開された場合の空のリスト。 |
| rbacGroupIds | 文字列の一覧 | インジケーターが公開され、アクティブな RBAC デバイス グループ ID。 すべてのデバイスに公開された場合の空のリスト。 |
| generateAlert | 列挙 | アラート 生成が必要な場合は True、このインジケーターでアラートを生成しない場合は False 。 |
インジケーターの種類
API でサポートされるインジケーター アクションの種類は次のとおりです。
- 可
- 監査
- ブロック
- BlockAndRemediate
- 警告 (Defender for Cloud Apps のみ)
応答アクションの種類の説明の詳細については、「 インジケーターの作成」を参照してください。
注:
以前の応答アクション (AlertAndBlock、および Alert) は、2022 年 1 月までサポートされます。 この日付以降、すべての顧客は上記のいずれかのアクションの種類を使用する必要があります。
Json 表現
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
関連項目
ヒント
詳細については、こちらをご覧ください。 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティに参加します。