Interfejs API przesyłania lub aktualizowania wskaźnika
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Uwaga
Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w usłudze Microsoft Defender for Endpoint dla klientów rządowych USA.
Porada
Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Opis interfejsu API
Przesyła lub aktualizuje nową jednostkę wskaźnika .
Notacja CIDR dla adresów IP nie jest obsługiwana.
Ograniczenia
- Ograniczenia szybkości dla tego interfejsu API to 100 wywołań na minutę i 1500 wywołań na godzinę.
- Istnieje limit 15 000 aktywnych wskaźników na dzierżawę.
Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Wprowadzenie.
| Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
|---|---|---|
| Aplikacja | Ti.ReadWrite | Read and write Indicators |
| Aplikacja | Ti.ReadWrite.All | Read and write All Indicators |
| Delegowane (konto służbowe) | Ti.ReadWrite | Read and write Indicators |
Żądanie HTTP
POST https://api.securitycenter.microsoft.com/api/indicators
Nagłówki żądań
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Autoryzacja | Ciąg | Element nośny {token}. Wymagane. |
| Typ zawartości | ciąg | application/json. Wymagane. |
Treść żądania
W treści żądania podaj obiekt JSON z następującymi parametrami:
| Parametr | Wpisać | Opis |
|---|---|---|
| indicatorValue | Ciąg | Tożsamość jednostki Wskaźnik . Wymagany |
| indicatorType | Wyliczenie | Typ wskaźnika. Możliwe wartości to: , , , , , , DomainNamei Url. IpAddressFileSha256CertificateThumbprintFileMd5FileSha1
Wymagany |
| akcja | Wyliczenie | Akcja wykonywana w przypadku wykrycia wskaźnika w organizacji. Możliwe wartości to: , , , , , , AlertAndBlocki Allowed. BlockAndRemediateAuditBlockWarnAlert
Wymagane. Parametr GenerateAlert musi być ustawiony na wartość TRUE podczas tworzenia akcji za pomocą Auditpolecenia . |
| aplikacja | Ciąg | Aplikacja skojarzona ze wskaźnikiem. To pole działa tylko w przypadku nowych wskaźników. Nie aktualizuje ona wartości istniejącego wskaźnika. Fakultatywny |
| tytuł | Ciąg | Tytuł alertu wskaźnika. Wymagany |
| opis | Ciąg | Opis wskaźnika. Wymagany |
| expirationTime | DateTimeOffset | Czas wygaśnięcia wskaźnika. Fakultatywny |
| dotkliwość | Wyliczenie | Ważność wskaźnika. Możliwe wartości to: Informational, Low, Medium, i High.
Fakultatywny |
| recommendedActions | Ciąg | Zalecane akcje alertu wskaźnika TI. Fakultatywny |
| rbacGroupNames | Ciąg | Rozdzielana przecinkami lista nazw grup RBAC, do których wskaźnik zostanie zastosowany. Fakultatywny |
| educateUrl | Ciąg | Niestandardowy adres URL powiadomień/pomocy technicznej. Obsługiwane w przypadku typów akcji Blokuj i Ostrzegaj dla wskaźników adresu URL. Fakultatywny |
| generateAlert | Wyliczenie | Prawda , jeśli generowanie alertu jest wymagane, wartość False , jeśli ten wskaźnik nie powinien generować alertu. |
Odpowiedź
- Jeśli to się powiedzie, ta metoda zwraca kod odpowiedzi 200 — OK i utworzoną /zaktualizowaną jednostkę Indicator w treści odpowiedzi.
- Jeśli nie powiedzie się: ta metoda zwraca wartość 400 — nieprawidłowe żądanie. Nieprawidłowe żądanie zwykle wskazuje nieprawidłową treść.
Przykład
Prosić
Oto przykład żądania.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Powiązany artykuł
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.