Api voor incidenten weergeven in Microsoft Defender XDR
Van toepassing op:
Opmerking
Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
API-beschrijving
Met de API voor lijstincidenten kunt u incidenten sorteren om een geïnformeerde cyberbeveiligingsreactie te maken. Er wordt een verzameling incidenten weergegeven die zijn gemarkeerd in uw netwerk, binnen het tijdsbereik dat u hebt opgegeven in het bewaarbeleid voor uw omgeving. De meest recente incidenten worden bovenaan de lijst weergegeven. Elk incident bevat een matrix met gerelateerde waarschuwingen en de bijbehorende entiteiten.
De API ondersteunt de volgende OData-operators :
$filterop delastUpdateTimeeigenschappen ,createdTime,statusenassignedTo$top, met een maximumwaarde van 100$skip
Beperkingen
- De maximale paginagrootte is 100 incidenten.
- De maximale frequentie van aanvragen is 50 oproepen per minuut en 1500 aanroepen per uur.
Machtigingen
Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Access Microsoft Defender XDR API's voor meer informatie, waaronder het kiezen van machtigingen.
| Machtigingstype | Machtiging | Weergavenaam van machtiging |
|---|---|---|
| Toepassing | Incident.Read.All | Alle incidenten lezen |
| Toepassing | Incident.ReadWrite.All | Alle incidenten lezen en schrijven |
| Gedelegeerd (werk- of schoolaccount) | Incident.Read | Incidenten lezen |
| Gedelegeerd (werk- of schoolaccount) | Incident.ReadWrite | Incidenten lezen en schrijven |
Opmerking
Bij het verkrijgen van een token met behulp van gebruikersreferenties:
- De gebruiker moet beschikken over weergavemachtigingen voor incidenten in de portal.
- Het antwoord bevat alleen incidenten waaraan de gebruiker wordt blootgesteld.
HTTP-aanvraag
GET /api/incidents
Aanvraagheaders
| Naam | Type | Omschrijving |
|---|---|---|
| Vergunning | Tekenreeks | Bearer {token}. Vereist |
Aanvraagtekst
Geen.
Antwoord
Als dit lukt, retourneert 200 OKdeze methode en een lijst met incidenten in de hoofdtekst van de reactie.
Schematoewijzing
Metagegevens van incidenten
| Veldnaam | Omschrijving | Voorbeeldwaarde |
|---|---|---|
| incidentId | Unieke id voor het incident | 924565 |
| redirectIncidentId | Alleen ingevuld als een incident wordt gegroepeerd met een ander incident, als onderdeel van de logica voor incidentverwerking. | 924569 |
| incidentName | Tekenreekswaarde beschikbaar voor elk incident. | Ransomware-activiteit |
| createdTime | Tijdstip waarop het incident voor het eerst is gemaakt. | 2020-09-06T14:46:57.0733333Z |
| lastUpdateTime | Tijdstip waarop het incident voor het laatst is bijgewerkt op de back-end. Dit veld kan worden gebruikt wanneer u de aanvraagparameter instelt voor het tijdsbereik dat incidenten worden opgehaald. |
2020-09-06T14:46:57.29Z |
| assignedTo | Eigenaar van het incident of null als er geen eigenaar is toegewezen. | secop2@contoso.com |
| Indeling | De specificatie voor het incident. De eigenschapswaarden zijn: Onbekend, FalsePositive, TruePositive | Unknown |
| Bepaling | Hiermee geeft u de bepaling van het incident. De eigenschapswaarden zijn: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | NotAvailable |
| detectionSource | Hiermee geeft u de detectiebron op. | Defender voor Cloud-apps |
| Status | Categoriseer incidenten (als Actief of Opgelost). Het kan u helpen bij het organiseren en beheren van uw reactie op incidenten. | Actief |
| Ernst | Geeft de mogelijke impact op assets aan. Hoe hoger de ernst, hoe groter de impact. Items met een hogere ernst vereisen doorgaans de meest onmiddellijke aandacht. Een van de volgende waarden: Informatief, Laag, *Gemiddeld en Hoog. |
Gemiddeld |
| Tags | Matrix met aangepaste tags die zijn gekoppeld aan een incident, bijvoorbeeld om een groep incidenten met een gemeenschappelijk kenmerk te markeren. | [] |
| Opmerkingen | Matrix met opmerkingen die door secops zijn gemaakt bij het beheren van het incident, bijvoorbeeld aanvullende informatie over de classificatieselectie. | [] |
| Waarschuwingen | Matrix met alle waarschuwingen die betrekking hebben op het incident, plus andere informatie, zoals ernst, entiteiten die betrokken waren bij de waarschuwing en de bron van de waarschuwingen. | [] (zie details over waarschuwingsvelden hieronder) |
Metagegevens van waarschuwingen
| Veldnaam | Omschrijving | Voorbeeldwaarde |
|---|---|---|
| alertId | Unieke id voor de waarschuwing | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| incidentId | Unieke id voor het incident waaraan deze waarschuwing is gekoppeld | 924565 |
| serviceSource | Service waaruit de waarschuwing afkomstig is, zoals Microsoft Defender voor Eindpunt, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity of Microsoft Defender voor Office 365. | MicrosoftCloudAppSecurity |
| creationTime | Tijdstip waarop de waarschuwing voor het eerst is gemaakt. | 2020-09-06T14:46:55.7182276Z |
| lastUpdatedTime | Tijdstip waarop de waarschuwing voor het laatst is bijgewerkt in de back-end. | 2020-09-06T14:46:57.2433333Z |
| resolvedTime | Het tijdstip waarop de waarschuwing is opgelost. | 2020-09-10T05:22:59Z |
| firstActivity | Het tijdstip waarop de waarschuwing voor het eerst heeft gemeld dat de activiteit is bijgewerkt in de back-end. | 2020-09-04T05:22:59Z |
| Titel | Korte identificerende tekenreekswaarde die beschikbaar is voor elke waarschuwing. | Ransomware-activiteit |
| beschrijving | Tekenreekswaarde die elke waarschuwing beschrijft. | De gebruiker Test User2 (testUser2@contoso.com) heeft 99 bestanden gemanipuleerd met meerdere extensies die eindigen met de ongebruikelijke extensie herunterladen. Dit is een ongebruikelijk aantal bestandsbewerkingen en wijst op een mogelijke ransomware-aanval. |
| Categorie | Visuele en numerieke weergave van de voortgang van de aanval in de kill chain. Afgestemd op het MITRE ATT&CK-framework™. | Impact |
| Status | Categoriseer waarschuwingen (als Nieuw, Actief of Opgelost). Het kan u helpen bij het organiseren en beheren van uw reactie op waarschuwingen. | Nieuw |
| Ernst | Geeft de mogelijke impact op assets aan. Hoe hoger de ernst, hoe groter de impact. Items met een hogere ernst vereisen doorgaans de meest onmiddellijke aandacht. Een van de volgende waarden: Informatief, Laag, Gemiddeld en Hoog. |
Gemiddeld |
| investigationId | De geautomatiseerde onderzoeks-id die door deze waarschuwing wordt geactiveerd. | 1234 |
| investigationState | Informatie over de huidige status van het onderzoek. Een van de volgende waarden: Unknown, Terminated, SuccessfullyRemedited, Benign, Failed, PartiallyRemedited, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | UnsupportedAlertType |
| Indeling | De specificatie voor het incident. De eigenschapswaarden zijn: Onbekend, FalsePositive, TruePositive of null | Unknown |
| Bepaling | Hiermee geeft u de bepaling van het incident. De eigenschapswaarden zijn: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other of null | Apt |
| assignedTo | Eigenaar van het incident of null als er geen eigenaar is toegewezen. | secop2@contoso.com |
| actorName | De activiteitsgroep, indien aanwezig, de die aan deze waarschuwing is gekoppeld. | BOOR |
| threatFamilyName | Bedreigingsgroep die aan deze waarschuwing is gekoppeld. | null |
| mitreTechniques | De aanvalstechnieken, zoals afgestemd op het MITRE ATT&CK-framework™. | [] |
| Apparaten | Alle apparaten waarop waarschuwingen met betrekking tot het incident zijn verzonden. | [] (zie details over entiteitsvelden hieronder) |
Apparaatindeling
| Veldnaam | Omschrijving | Voorbeeldwaarde |
|---|---|---|
| DeviceId | De apparaat-id zoals aangegeven in Microsoft Defender voor Eindpunt. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
| aadDeviceId | De apparaat-id zoals aangegeven in Microsoft Entra ID. Alleen beschikbaar voor apparaten die lid zijn van een domein. | null |
| deviceDnsName | De volledig gekwalificeerde domeinnaam voor het apparaat. | user5cx.middleeast.corp.contoso.com |
| osPlatform | Het besturingssysteemplatform waarop het apparaat wordt uitgevoerd. | WindowsServer2016 |
| osBuild | De buildversie voor het besturingssysteem waarop het apparaat wordt uitgevoerd. | 14393 |
| rbacGroupName | De RBAC-groep (op rollen gebaseerd toegangsbeheer ) die is gekoppeld aan het apparaat. | WDATP-Ring0 |
| firstSeen | Tijdstip waarop het apparaat voor het eerst werd gezien. | 2020-02-06T14:16:01.9330135Z |
| healthStatus | De status van het apparaat. | Actief |
| riskScore | De risicoscore voor het apparaat. | Hoog |
| Entiteiten | Alle entiteiten die zijn geïdentificeerd als onderdeel van of gerelateerd aan een bepaalde waarschuwing. | [] (zie details over entiteitsvelden hieronder) |
Entiteitsindeling
| Veldnaam | Omschrijving | Voorbeeldwaarde |
|---|---|---|
| entityType | Entiteiten waarvan is vastgesteld dat ze deel uitmaken van of gerelateerd zijn aan een bepaalde waarschuwing. De eigenschappenwaarden zijn: Gebruiker, IP, URL, Bestand, Proces, MailBox, MailMessage, MailCluster, Register |
Gebruiker |
| sha1 | Beschikbaar als entityType Bestand is. De bestands-hash voor waarschuwingen die zijn gekoppeld aan een bestand of proces. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
| sha256 | Beschikbaar als entityType Bestand is. De bestands-hash voor waarschuwingen die zijn gekoppeld aan een bestand of proces. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| Bestandsnaam | Beschikbaar als entityType Bestand is. De bestandsnaam voor waarschuwingen die zijn gekoppeld aan een bestand of proces |
Detector.UnitTests.dll |
| Filepath | Beschikbaar als entityType Bestand is. Het bestandspad voor waarschuwingen die zijn gekoppeld aan een bestand of proces |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| processId | Beschikbaar als entityType Proces is. | 24348 |
| processCommandLine | Beschikbaar als entityType Proces is. | 'Uw bestand is gereed om te Download_1911150169.exe' |
| processCreationTime | Beschikbaar als entityType Proces is. | 2020-07-18T03:25:38.5269993Z |
| parentProcessId | Beschikbaar als entityType Proces is. | 16840 |
| parentProcessCreationTime | Beschikbaar als entityType Proces is. | 2020-07-18T02:12:32.8616797Z |
| ipAddress | Beschikbaar als entityType IP is. IP-adres voor waarschuwingen die zijn gekoppeld aan netwerkevenementen, zoals Communicatie met een kwaadwillende netwerkbestemming. |
62.216.203.204 |
| Url | Beschikbaar als entityType URL is. URL voor waarschuwingen die zijn gekoppeld aan netwerkevenementen, zoals Communicatie met een kwaadwillende netwerkbestemming. |
down.esales360.cn |
| Accountnaam | Beschikbaar als entityType Gebruiker is. | testUser2 |
| Domeinnaam | Beschikbaar als entityType Gebruiker is. | europe.corp.contoso |
| userSid | Beschikbaar als entityType Gebruiker is. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| aadUserId | Beschikbaar als entityType Gebruiker is. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| userPrincipalName | Beschikbaar als entityType User/MailBox/MailMessage is. | testUser2@contoso.com |
| mailboxDisplayName | Beschikbaar als entityType MailBox is. | testgebruiker2 |
| mailboxAddress | Beschikbaar als entityType User/MailBox/MailMessage is. | testUser2@contoso.com |
| clusterBy | Beschikbaar als entityType MailCluster is. | Onderwerp; P2SenderDomain; Contenttype |
| Afzender | Beschikbaar als entityType User/MailBox/MailMessage is. | user.abc@mail.contoso.co.in |
| Ontvanger | Beschikbaar als entityType MailMessage is. | testUser2@contoso.com |
| Onderwerp | Beschikbaar als entityType MailMessage is. | [EXTERN] Aandacht |
| deliveryAction | Beschikbaar als entityType MailMessage is. | Geleverd |
| securityGroupId | Beschikbaar als entityType SecurityGroup is. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| securityGroupName | Beschikbaar als entityType SecurityGroup is. | Netwerkconfiguratieoperators |
| registryHive | Beschikbaar als entityType Register is. | HKEY_LOCAL_MACHINE |
| registryKey | Beschikbaar als entityType Register is. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| registryValueType | Beschikbaar als entityType Register is. | Tekenreeks |
| registryValue | Beschikbaar als entityType Register is. | 31-00-00-00 |
| deviceId | De id, indien aanwezig, van het apparaat dat is gerelateerd aan de entiteit. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
Voorbeeld
Voorbeeld van aanvraag
GET https://api.security.microsoft.com/api/incidents
Antwoordvoorbeeld
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Verwante artikelen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.