Typ zasobu wskaźnika
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Uwaga
Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w usłudze Microsoft Defender for Endpoint dla klientów rządowych USA.
Porada
Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- Zobacz odpowiednią stronę Wskaźniki w portalu.
| Metoda | Typ zwracany | Opis |
|---|---|---|
| Wylistuj wskaźniki | Wskaźnik Kolekcja | Wyświetlanie listy jednostek wskaźnika . |
| Prześlij wskaźniki | Wskaźnik | Prześlij lub zaktualizuj jednostkę wskaźnika . |
| Wskaźniki importu | Wskaźnik Kolekcja | Prześlij lub zaktualizuj jednostki wskaźników . |
| Usuń wskaźniki | Brak zawartości | Usuwa jednostkę wskaźnika . |
Właściwości
| Własność | Wpisać | Opis |
|---|---|---|
| id | Ciąg | Tożsamość jednostki Wskaźnik . |
| indicatorValue | Ciąg | Wartość wskaźnika. |
| indicatorType | Wyliczenie | Typ wskaźnika. Możliwe wartości to: , , , , , , DomainNamei Url. IpAddressCertificateThumbprintFileMd5FileSha256FileSha1 |
| aplikacja | Ciąg | Aplikacja skojarzona ze wskaźnikiem. |
| akcja | Wyliczenie | Akcja wykonywana w przypadku wykrycia wskaźnika w organizacji. Możliwe wartości to: , , , , , , BlockAndRemediatei Allowed. AlertAndBlockAlertAuditBlockWarn |
| externalID | Ciąg | Identyfikator, który klient może przesłać w żądaniu o korelację niestandardową. |
| sourceType | Wyliczenie |
User w przypadku, gdy wskaźnik został utworzony przez użytkownika (na przykład z portalu), AadApp w przypadku przesłania go przy użyciu aplikacji zautomatyzowanej za pośrednictwem interfejsu API. |
| createdBySource | ciąg | Nazwa użytkownika/aplikacji, która przesłała wskaźnik. |
| createdBy | Ciąg | Unikatowa tożsamość użytkownika/aplikacji, która przesłała wskaźnik. |
| lastUpdatedBy | Ciąg | Tożsamość użytkownika/aplikacji, która ostatnio zaktualizowała wskaźnik. |
| creationTimeDateTimeUtc | DateTimeOffset | Data i godzina utworzenia wskaźnika. |
| expirationTime | DateTimeOffset | Czas wygaśnięcia wskaźnika. |
| lastUpdateTime | DateTimeOffset | Czas ostatniej aktualizacji wskaźnika. |
| dotkliwość | Wyliczenie | Ważność wskaźnika. Możliwe wartości to: Informational, Low, Medium, i High. |
| tytuł | Ciąg | Tytuł wskaźnika. |
| opis | Ciąg | Opis wskaźnika. |
| recommendedActions | Ciąg | Zalecane akcje dla wskaźnika. |
| rbacGroupNames | Lista ciągów | Nazwy grup urządzeń RBAC, w których wskaźnik jest uwidoczniona i aktywna. Pusta lista w przypadku, gdy jest ona widoczna dla wszystkich urządzeń. |
| rbacGroupIds | Lista ciągów | Identyfikatory grup urządzeń RBAC, w których wskaźnik jest uwidoczniona i aktywna. Pusta lista w przypadku, gdy jest ona widoczna dla wszystkich urządzeń. |
| generateAlert | Wyliczenie | Prawda , jeśli generowanie alertu jest wymagane, wartość False , jeśli ten wskaźnik nie powinien generować alertu. |
Typy wskaźników
Typy akcji wskaźnika obsługiwane przez interfejs API to:
- Dozwolone
- Audyt
- Blokuj
- BlockAndRemediate
- Ostrzegaj (tylko usługa Defender for Cloud Apps)
Aby uzyskać więcej informacji na temat opisu typów akcji odpowiedzi, zobacz Tworzenie wskaźników.
Uwaga
Poprzednie akcje reagowania (AlertAndBlock i Alert) będą obsługiwane do stycznia 2022 r. Po tej dacie wszyscy klienci muszą używać jednego z typów akcji wymienionych w tej sekcji.
Reprezentacja w formacie JSON
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
Zobacz też
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.