Compartilhar via


Submeter ou Atualizar API de Indicador

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Observação

Se for um cliente do Us Government, utilize os URIs listados no Microsoft Defender para Endpoint para clientes do Us Government.

Dica

Para um melhor desempenho, pode utilizar o servidor mais próximo da localização geográfica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Descrição da API

Submete ou Atualiza a nova entidade Indicador .

A notação CIDR para IPs não é suportada.

Limitações

  1. As limitações de taxa para esta API são 100 chamadas por minuto e 1500 chamadas por hora.
  2. Existe um limite de 15 000 indicadores ativos por inquilino.

Permissões

Uma das seguintes permissões é necessária para chamar esta API. Para saber mais, incluindo como escolher permissões, consulte Introdução.

Tipo de permissão Permissão Nome a apresentar da permissão
Application Ti.ReadWrite Read and write Indicators
Application Ti.ReadWrite.All Read and write All Indicators
Delegado (conta corporativa ou de estudante) Ti.ReadWrite Read and write Indicators

Solicitação HTTP

POST https://api.securitycenter.microsoft.com/api/indicators

Cabeçalhos de solicitação

Nome Tipo Descrição
Autorização Cadeia de caracteres {token} de portador. Obrigatório.
Content-Type string application/json. Obrigatório.

Corpo da solicitação

No corpo do pedido, forneça um objeto JSON com os seguintes parâmetros:

Parâmetro Tipo Descrição
indicatorValue Cadeia de caracteres Identidade da entidade Indicador . Required
indicatorType Enum Tipo do indicador. Os valores possíveis são: FileSha1, , FileMd5CertificateThumbprint, FileSha256, , IpAddress, DomainNamee Url. Required
ação Enum A ação que é efetuada se o indicador for detetado na organização. Os valores possíveis são: Alert, , WarnBlock, Audit, , BlockAndRemediate, AlertAndBlocke Allowed. Obrigatório. O GenerateAlert parâmetro tem de ser definido como ao TRUE criar uma ação com Audit.
aplicação Cadeia de caracteres A aplicação associada ao indicador. Este campo só funciona para novos indicadores. Não atualiza o valor num indicador existente. Opcional
title Cadeia de caracteres Título do alerta de indicador. Required
description Cadeia de caracteres Descrição do indicador. Required
expirationTime DateTimeOffset O tempo de expiração do indicador. Opcional
severity Enum A gravidade do indicador. Os valores possíveis são: Informational, Low, Medium, e High. Opcional
recommendedActions Cadeia de caracteres Ações recomendadas do alerta do indicador TI. Opcional
rbacGroupNames Cadeia de caracteres Lista separada por vírgulas de nomes de grupos RBAC aos qual o indicador seria aplicado. Opcional
educateUrl Cadeia de caracteres URL de notificação/suporte personalizado. Suportado para tipos de ação Bloquear e Avisar para indicadores de URL. Opcional
generateAlert Enum Verdadeiro se a geração de alertas for necessária, Falso se este indicador não quiser gerar um alerta.

Resposta

  • Se for bem-sucedido, este método devolve o código de resposta 200 - OK e a entidade indicadora criada/atualizada no corpo da resposta.
  • Se não for bem-sucedido: este método devolve 400 – Pedido Incorreto. Normalmente, o pedido incorreto indica um corpo incorreto.

Exemplo

Solicitação

Eis um exemplo do pedido.

POST https://api.securitycenter.microsoft.com/api/indicators
{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

Artigo relacionado

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.