Delen via


Api voor incidenten weergeven in Microsoft Defender XDR

Van toepassing op:

Opmerking

Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

API-beschrijving

Met de API voor lijstincidenten kunt u incidenten sorteren om een geïnformeerde cyberbeveiligingsreactie te maken. Er wordt een verzameling incidenten weergegeven die zijn gemarkeerd in uw netwerk, binnen het tijdsbereik dat u hebt opgegeven in het bewaarbeleid voor uw omgeving. De meest recente incidenten worden bovenaan de lijst weergegeven. Elk incident bevat een matrix met gerelateerde waarschuwingen en de bijbehorende entiteiten.

De API ondersteunt de volgende OData-operators :

  • $filterop de lastUpdateTimeeigenschappen , createdTime, statusen assignedTo
  • $top, met een maximumwaarde van 100
  • $skip

Beperkingen

  1. De maximale paginagrootte is 100 incidenten.
  2. De maximale frequentie van aanvragen is 50 oproepen per minuut en 1500 aanroepen per uur.

Machtigingen

Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Access Microsoft Defender XDR API's voor meer informatie, waaronder het kiezen van machtigingen.

Machtigingstype Machtiging Weergavenaam van machtiging
Toepassing Incident.Read.All Alle incidenten lezen
Toepassing Incident.ReadWrite.All Alle incidenten lezen en schrijven
Gedelegeerd (werk- of schoolaccount) Incident.Read Incidenten lezen
Gedelegeerd (werk- of schoolaccount) Incident.ReadWrite Incidenten lezen en schrijven

Opmerking

Bij het verkrijgen van een token met behulp van gebruikersreferenties:

  • De gebruiker moet beschikken over weergavemachtigingen voor incidenten in de portal.
  • Het antwoord bevat alleen incidenten waaraan de gebruiker wordt blootgesteld.

HTTP-aanvraag

GET /api/incidents

Aanvraagheaders

Naam Type Omschrijving
Vergunning Tekenreeks Bearer {token}. Vereist

Aanvraagtekst

Geen.

Antwoord

Als dit lukt, retourneert 200 OKdeze methode en een lijst met incidenten in de hoofdtekst van de reactie.

Schematoewijzing

Metagegevens van incidenten

Veldnaam Omschrijving Voorbeeldwaarde
incidentId Unieke id voor het incident 924565
redirectIncidentId Alleen ingevuld als een incident wordt gegroepeerd met een ander incident, als onderdeel van de logica voor incidentverwerking. 924569
incidentName Tekenreekswaarde beschikbaar voor elk incident. Ransomware-activiteit
createdTime Tijdstip waarop het incident voor het eerst is gemaakt. 2020-09-06T14:46:57.0733333Z
lastUpdateTime Tijdstip waarop het incident voor het laatst is bijgewerkt op de back-end.

Dit veld kan worden gebruikt wanneer u de aanvraagparameter instelt voor het tijdsbereik dat incidenten worden opgehaald.

2020-09-06T14:46:57.29Z
assignedTo Eigenaar van het incident of null als er geen eigenaar is toegewezen. secop2@contoso.com
Indeling De specificatie voor het incident. De eigenschapswaarden zijn: Onbekend, FalsePositive, TruePositive Unknown
Bepaling Hiermee geeft u de bepaling van het incident. De eigenschapswaarden zijn: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other NotAvailable
detectionSource Hiermee geeft u de detectiebron op. Defender voor Cloud-apps
Status Categoriseer incidenten (als Actief of Opgelost). Het kan u helpen bij het organiseren en beheren van uw reactie op incidenten. Actief
Ernst Geeft de mogelijke impact op assets aan. Hoe hoger de ernst, hoe groter de impact. Items met een hogere ernst vereisen doorgaans de meest onmiddellijke aandacht.

Een van de volgende waarden: Informatief, Laag, *Gemiddeld en Hoog.

Gemiddeld
Tags Matrix met aangepaste tags die zijn gekoppeld aan een incident, bijvoorbeeld om een groep incidenten met een gemeenschappelijk kenmerk te markeren. []
Opmerkingen Matrix met opmerkingen die door secops zijn gemaakt bij het beheren van het incident, bijvoorbeeld aanvullende informatie over de classificatieselectie. []
Waarschuwingen Matrix met alle waarschuwingen die betrekking hebben op het incident, plus andere informatie, zoals ernst, entiteiten die betrokken waren bij de waarschuwing en de bron van de waarschuwingen. [] (zie details over waarschuwingsvelden hieronder)

Metagegevens van waarschuwingen

Veldnaam Omschrijving Voorbeeldwaarde
alertId Unieke id voor de waarschuwing caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId Unieke id voor het incident waaraan deze waarschuwing is gekoppeld 924565
serviceSource Service waaruit de waarschuwing afkomstig is, zoals Microsoft Defender voor Eindpunt, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity of Microsoft Defender voor Office 365. MicrosoftCloudAppSecurity
creationTime Tijdstip waarop de waarschuwing voor het eerst is gemaakt. 2020-09-06T14:46:55.7182276Z
lastUpdatedTime Tijdstip waarop de waarschuwing voor het laatst is bijgewerkt in de back-end. 2020-09-06T14:46:57.2433333Z
resolvedTime Het tijdstip waarop de waarschuwing is opgelost. 2020-09-10T05:22:59Z
firstActivity Het tijdstip waarop de waarschuwing voor het eerst heeft gemeld dat de activiteit is bijgewerkt in de back-end. 2020-09-04T05:22:59Z
Titel Korte identificerende tekenreekswaarde die beschikbaar is voor elke waarschuwing. Ransomware-activiteit
beschrijving Tekenreekswaarde die elke waarschuwing beschrijft. De gebruiker Test User2 (testUser2@contoso.com) heeft 99 bestanden gemanipuleerd met meerdere extensies die eindigen met de ongebruikelijke extensie herunterladen. Dit is een ongebruikelijk aantal bestandsbewerkingen en wijst op een mogelijke ransomware-aanval.
Categorie Visuele en numerieke weergave van de voortgang van de aanval in de kill chain. Afgestemd op het MITRE ATT&CK-framework™. Impact
Status Categoriseer waarschuwingen (als Nieuw, Actief of Opgelost). Het kan u helpen bij het organiseren en beheren van uw reactie op waarschuwingen. Nieuw
Ernst Geeft de mogelijke impact op assets aan. Hoe hoger de ernst, hoe groter de impact. Items met een hogere ernst vereisen doorgaans de meest onmiddellijke aandacht.
Een van de volgende waarden: Informatief, Laag, Gemiddeld en Hoog.
Gemiddeld
investigationId De geautomatiseerde onderzoeks-id die door deze waarschuwing wordt geactiveerd. 1234
investigationState Informatie over de huidige status van het onderzoek. Een van de volgende waarden: Unknown, Terminated, SuccessfullyRemedited, Benign, Failed, PartiallyRemedited, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. UnsupportedAlertType
Indeling De specificatie voor het incident. De eigenschapswaarden zijn: Onbekend, FalsePositive, TruePositive of null Unknown
Bepaling Hiermee geeft u de bepaling van het incident. De eigenschapswaarden zijn: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other of null Apt
assignedTo Eigenaar van het incident of null als er geen eigenaar is toegewezen. secop2@contoso.com
actorName De activiteitsgroep, indien aanwezig, de die aan deze waarschuwing is gekoppeld. BOOR
threatFamilyName Bedreigingsgroep die aan deze waarschuwing is gekoppeld. null
mitreTechniques De aanvalstechnieken, zoals afgestemd op het MITRE ATT&CK-framework™. []
Apparaten Alle apparaten waarop waarschuwingen met betrekking tot het incident zijn verzonden. [] (zie details over entiteitsvelden hieronder)

Apparaatindeling

Veldnaam Omschrijving Voorbeeldwaarde
DeviceId De apparaat-id zoals aangegeven in Microsoft Defender voor Eindpunt. 24c222b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceId De apparaat-id zoals aangegeven in Microsoft Entra ID. Alleen beschikbaar voor apparaten die lid zijn van een domein. null
deviceDnsName De volledig gekwalificeerde domeinnaam voor het apparaat. user5cx.middleeast.corp.contoso.com
osPlatform Het besturingssysteemplatform waarop het apparaat wordt uitgevoerd. WindowsServer2016
osBuild De buildversie voor het besturingssysteem waarop het apparaat wordt uitgevoerd. 14393
rbacGroupName De RBAC-groep (op rollen gebaseerd toegangsbeheer ) die is gekoppeld aan het apparaat. WDATP-Ring0
firstSeen Tijdstip waarop het apparaat voor het eerst werd gezien. 2020-02-06T14:16:01.9330135Z
healthStatus De status van het apparaat. Actief
riskScore De risicoscore voor het apparaat. Hoog
Entiteiten Alle entiteiten die zijn geïdentificeerd als onderdeel van of gerelateerd aan een bepaalde waarschuwing. [] (zie details over entiteitsvelden hieronder)

Entiteitsindeling

Veldnaam Omschrijving Voorbeeldwaarde
entityType Entiteiten waarvan is vastgesteld dat ze deel uitmaken van of gerelateerd zijn aan een bepaalde waarschuwing.
De eigenschappenwaarden zijn: Gebruiker, IP, URL, Bestand, Proces, MailBox, MailMessage, MailCluster, Register
Gebruiker
sha1 Beschikbaar als entityType Bestand is.
De bestands-hash voor waarschuwingen die zijn gekoppeld aan een bestand of proces.
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 Beschikbaar als entityType Bestand is.
De bestands-hash voor waarschuwingen die zijn gekoppeld aan een bestand of proces.
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
Bestandsnaam Beschikbaar als entityType Bestand is.
De bestandsnaam voor waarschuwingen die zijn gekoppeld aan een bestand of proces
Detector.UnitTests.dll
Filepath Beschikbaar als entityType Bestand is.
Het bestandspad voor waarschuwingen die zijn gekoppeld aan een bestand of proces
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
processId Beschikbaar als entityType Proces is. 24348
processCommandLine Beschikbaar als entityType Proces is. 'Uw bestand is gereed om te Download_1911150169.exe'
processCreationTime Beschikbaar als entityType Proces is. 2020-07-18T03:25:38.5269993Z
parentProcessId Beschikbaar als entityType Proces is. 16840
parentProcessCreationTime Beschikbaar als entityType Proces is. 2020-07-18T02:12:32.8616797Z
ipAddress Beschikbaar als entityType IP is.
IP-adres voor waarschuwingen die zijn gekoppeld aan netwerkevenementen, zoals Communicatie met een kwaadwillende netwerkbestemming.
62.216.203.204
Url Beschikbaar als entityType URL is.
URL voor waarschuwingen die zijn gekoppeld aan netwerkevenementen, zoals Communicatie met een kwaadwillende netwerkbestemming.
down.esales360.cn
Accountnaam Beschikbaar als entityType Gebruiker is. testUser2
Domeinnaam Beschikbaar als entityType Gebruiker is. europe.corp.contoso
userSid Beschikbaar als entityType Gebruiker is. S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId Beschikbaar als entityType Gebruiker is. fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName Beschikbaar als entityType User/MailBox/MailMessage is. testUser2@contoso.com
mailboxDisplayName Beschikbaar als entityType MailBox is. testgebruiker2
mailboxAddress Beschikbaar als entityType User/MailBox/MailMessage is. testUser2@contoso.com
clusterBy Beschikbaar als entityType MailCluster is. Onderwerp; P2SenderDomain; Contenttype
Afzender Beschikbaar als entityType User/MailBox/MailMessage is. user.abc@mail.contoso.co.in
Ontvanger Beschikbaar als entityType MailMessage is. testUser2@contoso.com
Onderwerp Beschikbaar als entityType MailMessage is. [EXTERN] Aandacht
deliveryAction Beschikbaar als entityType MailMessage is. Geleverd
securityGroupId Beschikbaar als entityType SecurityGroup is. 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName Beschikbaar als entityType SecurityGroup is. Netwerkconfiguratieoperators
registryHive Beschikbaar als entityType Register is. HKEY_LOCAL_MACHINE
registryKey Beschikbaar als entityType Register is. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType Beschikbaar als entityType Register is. Tekenreeks
registryValue Beschikbaar als entityType Register is. 31-00-00-00
deviceId De id, indien aanwezig, van het apparaat dat is gerelateerd aan de entiteit. 986e5df8b73dacd43c8917d17e523e76b13c75cd

Voorbeeld

Voorbeeld van aanvraag

GET https://api.security.microsoft.com/api/incidents

Antwoordvoorbeeld

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.