Share via

Indikatorressurstype

  • Artikkel

Gjelder for:

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Obs!

Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for endepunkt for US Government-kunder.

Tips

Hvis du vil ha bedre ytelse, kan du bruke serveren nærmere geografisk plassering:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
Metode Returtype Beskrivelse
Listeindikatorer Indikator Samling Listeindikatorenheter.
Send inn indikator Indikator Send eller oppdater indikatorenhet .
Importindikatorer Indikator Samling Send inn eller oppdater indikatorenheter .
Slett indikator Ikke noe innhold Sletter indikatorenhet .

Egenskaper

Egenskapen Type: Beskrivelse
Id Streng Identiteten til indikatorenheten .
indicatorValue Streng Verdien for indikatoren.
indicatorType Enum Type indikator. Mulige verdier er: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainNameog Url.
Programmet Streng Programmet som er knyttet til indikatoren.
Handling Enum Handlingen som utføres hvis indikatoren oppdages i organisasjonen. Mulige verdier er: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediateog Allowed.
externalID Streng ID kunden kan sende inn i forespørselen om egendefinert korrelasjon.
sourceType Enum User i tilfelle indikatoren ble opprettet av en bruker (for eksempel fra portalen), AadApp i tilfelle den ble sendt inn ved hjelp av automatisert program via API-en.
createdBySource Streng Navnet på brukeren/programmet som sendte inn indikatoren.
createdBy Streng Unik identitet for brukeren/programmet som sendte inn indikatoren.
lastUpdatedBy Streng Identiteten til brukeren/programmet som sist oppdaterte indikatoren.
creationTimeDateTimeUtc DateTimeOffset Datoen og klokkeslettet indikatoren ble opprettet.
expirationTime DateTimeOffset Utløpstiden for indikatoren.
lastUpdateTime DateTimeOffset Siste gang indikatoren ble oppdatert.
Alvorlighetsgraden Enum Alvorsgraden for indikatoren. Mulige verdier er: Informational, Low, Mediumog High.
Tittel Streng Indikatortittel.
Beskrivelse Streng Beskrivelse av indikatoren.
recommendedActions Streng Anbefalte handlinger for indikatoren.
rbacGroupNames Liste over strenger RBAC-enhetsgruppenavn der indikatoren vises og er aktiv. Tom liste i tilfelle den eksponeres for alle enheter.
rbacGroupIds Liste over strenger RBAC-enhetsgruppe-ID-er der indikatoren er eksponert og aktiv. Tom liste i tilfelle den eksponeres for alle enheter.
generateAlert Enum Sann hvis generering av varsel kreves, Usann hvis denne indikatoren ikke skal generere et varsel.

Indikatortyper

Indikatorhandlingstypene som støttes av API-en, er:

  • Tillatt
  • Tilsynet
  • Blokker
  • BlockAndRemediate
  • Advar (bare Defender for skyapper)

Hvis du vil ha mer informasjon om beskrivelsen av svarhandlingstypene, kan du se Opprett indikatorer.

Obs!

Tidligere responshandlinger (AlertAndBlock og Alert) støttes frem til januar 2022. Etter denne datoen må alle kunder bruke én av handlingstypene som er oppført i denne delen.

Json-representasjon

{
    "id": "994",
    "indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
    "indicatorType": "FileSha256",
    "action": "AlertAndBlock",
    "application": null,
    "source": "user@contoso.onmicrosoft.com",
    "sourceType": "User",
    "createdBy": "user@contoso.onmicrosoft.com",
    "severity": "Informational",
    "title": "Michael test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
    "expirationTime": null,
    "lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": ["team1"]
}

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.