Indikatorressurstype
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Obs!
Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for Endpoint for US Government-kunder.
Tips
Hvis du vil ha bedre ytelse, kan du bruke serveren nærmere geografisk plassering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- Se den tilsvarende indikatorsiden i portalen.
Metode | Returtype | Beskrivelse |
---|---|---|
Listeindikatorer | Viser Samling | Listeindikatorenheter. |
Send inn indikator | Viser | Send eller oppdater indikatorenhet . |
Importindikatorer | Viser Samling | Send inn eller oppdater indikatorenheter . |
Slett indikator | Ikke noe innhold | Sletter indikatorenhet . |
Egenskaper
Eiendom | Type: | Beskrivelse |
---|---|---|
id | Streng | Identiteten til indikatorenheten . |
indicatorValue | Streng | Verdien for indikatoren. |
indicatorType | Opplisting | Type indikator. Mulige verdier er: FileSha1 , FileSha256 , FileMd5 , CertificateThumbprint , IpAddress , DomainName og Url . |
søknad | Streng | Programmet som er knyttet til indikatoren. |
handling | Opplisting | Handlingen som utføres hvis indikatoren oppdages i organisasjonen. Mulige verdier er: Warn , Block , Audit , Alert , AlertAndBlock , BlockAndRemediate og Allowed . |
externalID | Streng | ID kunden kan sende inn i forespørselen om egendefinert korrelasjon. |
sourceType | Opplisting |
User i tilfelle indikatoren ble opprettet av en bruker (for eksempel fra portalen), AadApp i tilfelle den ble sendt inn ved hjelp av automatisert program via API-en. |
createdBySource | streng | Navnet på brukeren/programmet som sendte inn indikatoren. |
createdBy | Streng | Unik identitet for brukeren/programmet som sendte inn indikatoren. |
lastUpdatedBy | Streng | Identiteten til brukeren/programmet som sist oppdaterte indikatoren. |
creationTimeDateTimeUtc | DateTimeOffset | Datoen og klokkeslettet indikatoren ble opprettet. |
expirationTime | DateTimeOffset | Utløpstiden for indikatoren. |
lastUpdateTime | DateTimeOffset | Siste gang indikatoren ble oppdatert. |
Alvorlighetsgraden | Opplisting | Alvorsgraden for indikatoren. Mulige verdier er: Informational , Low , Medium og High . |
tittel | Streng | Indikatortittel. |
beskrivelse | Streng | Beskrivelse av indikatoren. |
recommendedActions | Streng | Anbefalte handlinger for indikatoren. |
rbacGroupNames | Liste over strenger | RBAC-enhetsgruppenavn der indikatoren vises og er aktiv. Tom liste i tilfelle den eksponeres for alle enheter. |
rbacGroupIds | Liste over strenger | RBAC-enhetsgruppe-ID-er der indikatoren er eksponert og aktiv. Tom liste i tilfelle den eksponeres for alle enheter. |
generateAlert | Opplisting | Sann hvis generering av varsel kreves, Usann hvis denne indikatoren ikke skal generere et varsel. |
Indikatortyper
Indikatorhandlingstypene som støttes av API-en, er:
- Tillatt
- Revisjon
- Blokker
- BlockAndRemediate
- Advar (bare Defender for skyapper)
Hvis du vil ha mer informasjon om beskrivelsen av svarhandlingstypene, kan du se Opprette indikatorer.
Obs!
Tidligere responshandlinger (AlertAndBlock og Alert) støttes frem til januar 2022. Etter denne datoen må alle kunder bruke én av handlingstypene som er oppført i denne delen.
Json-representasjon
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
Se også
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.