Delen via

Lijstindicatoren-API

  • Artikel

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Opmerking

Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.

Tip

Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-beschrijving

Hiermee wordt een verzameling van alle actieve indicatoren opgehaald.

Ondersteunt OData V4-query's.

De OData-query $filter wordt ondersteund op: application, createdByDisplayName, , expirationTime, generateAlerttitle, rbacGroupIdsrbacGroupNames, , indicatorValue, indicatorType, , creationTimeDateTimeUtc, , actioncreatedByen severity eigenschappen.
$stop met een maximale waarde van 10.000.
$skip.

Zie voorbeelden bij OData-query's met Microsoft Defender voor Eindpunt.

Beperkingen

Frequentiebeperkingen voor deze API zijn 100 aanroepen per minuut en 1500 aanroepen per uur.

Machtigingen

Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Aan de slag voor meer informatie, waaronder het kiezen van machtigingen.

Machtigingstype Machtiging Weergavenaam van machtiging
Toepassing Ti.ReadWrite Read and write Indicators
Toepassing Ti.ReadWrite.All Read and write All Indicators
Gedelegeerd (werk- of schoolaccount) Ti.ReadWrite Read and write Indicators

HTTP-aanvraag

GET https://api.securitycenter.microsoft.com/api/indicators

Aanvraagheaders

Naam Type Beschrijving
Machtiging Tekenreeks Bearer {token}. Vereist.

Aanvraagtekst

Leeg

Antwoord

Als dit lukt, retourneert deze methode 200, OK-antwoordcode met een verzameling indicatorentiteiten .

Opmerking

Als de toepassing een machtiging heeft Ti.ReadWrite.All , wordt deze weergegeven voor alle indicatoren. Anders wordt deze alleen weergegeven voor de indicatoren die zijn gemaakt.

Voorbeeld 1

Voorbeeld 1 aanvraag

Hier volgt een voorbeeld van een aanvraag waarmee alle indicatoren worden ophaalt.

GET https://api.securitycenter.microsoft.com/api/indicators

Voorbeeld 1 antwoord

Hier volgt een voorbeeld van het antwoord.

HTTP/1.1 200 Ok
Content-type: application/json
{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
    "value": [
        {
            "id": "995",
            "indicatorValue": "12.13.14.15",
            "indicatorType": "IpAddress",
            "action": "Alert",
            "application": "demo-test",
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T11:15:35.3688259Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "test",
            "rbacGroupNames": []
        },
        {
            "id": "996",
            "indicatorValue": "220e7d15b0b3d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "action": "AlertAndBlock",
            "application": null,
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "TEST",
            "rbacGroupNames": [ "Group1", "Group2" ]
        }
        ...
    ]
}

Voorbeeld 2

Voorbeeld 2 aanvraag

Hier volgt een voorbeeld van een aanvraag waarmee alle indicatoren met AlertAndBlock actie worden ophaalt.

GET https://api.securitycenter.microsoft.com/api/indicators?$filter=action+eq+'AlertAndBlock'

Voorbeeld 2-antwoord

Hier volgt een voorbeeld van het antwoord.

HTTP/1.1 200 Ok
Content-type: application/json
{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
    "value": [
        {
            "id": "997",
            "indicatorValue": "111e7d15b0b3d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "action": "AlertAndBlock",
            "application": null,
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "TEST",
            "rbacGroupNames": [ "Group1", "Group2" ]
        }
        ...
    ]
}

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.