Indicator-API verzenden of bijwerken
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Opmerking
Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.
Tip
Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
API-beschrijving
Verzendt of Updates nieuwe indicatorentiteit.
CIDR-notatie voor IP-adressen wordt niet ondersteund.
Beperkingen
- Frequentiebeperkingen voor deze API zijn 100 aanroepen per minuut en 1500 aanroepen per uur.
- Er is een limiet van 15.000 actieve indicatoren per tenant.
Machtigingen
Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Aan de slag voor meer informatie, waaronder het kiezen van machtigingen.
| Machtigingstype | Machtiging | Weergavenaam van machtiging |
|---|---|---|
| Toepassing | Ti.ReadWrite | Read and write Indicators |
| Toepassing | Ti.ReadWrite.All | Read and write All Indicators |
| Gedelegeerd (werk- of schoolaccount) | Ti.ReadWrite | Read and write Indicators |
HTTP-aanvraag
POST https://api.securitycenter.microsoft.com/api/indicators
Aanvraagheaders
| Naam | Type | Beschrijving |
|---|---|---|
| Vergunning | Tekenreeks | Bearer {token}. Vereist. |
| Content-Type | reeks | application/json. Vereist. |
Aanvraagtekst
Geef in de aanvraagtekst een JSON-object op met de volgende parameters:
| Parameter | Type | Beschrijving |
|---|---|---|
| indicatorValue | Tekenreeks | Identiteit van de entiteit Indicator . Vereist |
| indicatorType | Enum | Type van de indicator. Mogelijke waarden zijn: FileSha1, FileMd5CertificateThumbprint, , FileSha256, IpAddress, DomainName, en Url. Vereist |
| actie | Enum | De actie die wordt uitgevoerd als de indicator wordt gedetecteerd in de organisatie. Mogelijke waarden zijn: Alert, WarnBlock, , Audit, BlockAndRemediate, AlertAndBlock, en Allowed. Vereist. De GenerateAlert parameter moet worden ingesteld op TRUE bij het maken van een actie met Audit. |
| Toepassing | Tekenreeks | De toepassing die is gekoppeld aan de indicator. Dit veld werkt alleen voor nieuwe indicatoren. De waarde van een bestaande indicator wordt niet bijgewerkt. Optionele |
| Titel | Tekenreeks | Titel van indicatorwaarschuwing. Vereist |
| beschrijving | Tekenreeks | Beschrijving van de indicator. Vereist |
| expirationTime | DateTimeOffset | De verlooptijd van de indicator. Optionele |
| Ernst | Enum | De ernst van de indicator. Mogelijke waarden zijn: Informational, Low, Mediumen High. Optionele |
| recommendedActions | Tekenreeks | Aanbevolen acties voor ti-indicatorwaarschuwing. Optionele |
| rbacGroupNames | Tekenreeks | Door komma's gescheiden lijst met RBAC-groepsnamen waarop de indicator zou worden toegepast. Optionele |
| educateUrl | Tekenreeks | Aangepaste URL voor meldingen/ondersteuning. Ondersteund voor actietypen Blokkeren en Waarschuwen voor URL-indicatoren. Optionele |
| generateAlert | Enum | True als het genereren van waarschuwingen is vereist, Onwaar als deze indicator geen waarschuwing moet genereren. |
Antwoord
- Als dit lukt, retourneert deze methode de antwoordcode 200 - OK en de gemaakte/bijgewerkte indicatorentiteit in de antwoordtekst.
- Als dit niet lukt, retourneert deze methode 400 - Ongeldige aanvraag. Ongeldige aanvraag geeft meestal een onjuiste hoofdtekst aan.
Voorbeeld
Verzoek
Hier volgt een voorbeeld van de aanvraag.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Gerelateerd artikel
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor