Enviar ou atualizar a API do Indicador
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Observação
Se você for um cliente do governo dos EUA, use as URIs listadas em Microsoft Defender para Ponto de Extremidade para clientes do governo dos EUA.
Dica
Para obter um melhor desempenho, você pode usar o servidor mais próximo da localização geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
Descrição da API
Envia ou Atualizações nova entidade Indicador.
A notação CIDR para IPs não tem suporte.
Limitações
- As limitações de taxa para essa API são 100 chamadas por minuto e 1.500 chamadas por hora.
- Há um limite de 15.000 indicadores ativos por locatário.
Permissões
Uma das seguintes permissões é necessária para chamar esta API. Para saber mais, incluindo como escolher permissões, consulte Introdução.
| Tipo de permissão | Permissão | Nome da exibição de permissão |
|---|---|---|
| Application | Ti.ReadWrite | Read and write Indicators |
| Application | Ti.ReadWrite.All | Read and write All Indicators |
| Delegado (conta corporativa ou de estudante) | Ti.ReadWrite | Read and write Indicators |
Solicitação HTTP
POST https://api.securitycenter.microsoft.com/api/indicators
Cabeçalhos de solicitação
| Nome | Tipo | Descrição |
|---|---|---|
| Autorização | Cadeia de caracteres | {token} de portador. Obrigatório. |
| Content-Type | string | application/json. Obrigatório. |
Corpo da solicitação
No corpo da solicitação, forneça um objeto JSON com os seguintes parâmetros:
| Parâmetro | Tipo | Descrição |
|---|---|---|
| indicatorValue | Cadeia de caracteres | Identidade da entidade Indicador . Required |
| indicatorType | Enum | Tipo do indicador. Os valores possíveis são: FileSha1, , FileMd5, CertificateThumbprintFileSha256, IpAddress, , DomainNamee Url. Required |
| ação | Enum | A ação que será tomada se o indicador for descoberto na organização. Os valores possíveis são: Alert, , Warn, BlockAudit, BlockAndRemediate, , AlertAndBlocke Allowed. Obrigatório. O GenerateAlert parâmetro deve ser definido como ao TRUE criar uma ação com Audit. |
| aplicação | Cadeia de caracteres | O aplicativo associado ao indicador. Esse campo só funciona para novos indicadores. Ele não atualiza o valor em um indicador existente. Opcional |
| title | Cadeia de caracteres | Título de alerta de indicador. Required |
| description | Cadeia de caracteres | Descrição do indicador. Required |
| expirationTime | DateTimeOffset | O tempo de expiração do indicador. Opcional |
| severity | Enum | A gravidade do indicador. Os valores possíveis são: Informational, Low, Medium, e High. Opcional |
| recommendedActions | Cadeia de caracteres | Ações recomendadas de alerta de indicador de TI. Opcional |
| rbacGroupNames | Cadeia de caracteres | Lista separada por vírgulas de nomes de grupo RBAC aos quais o indicador seria aplicado. Opcional |
| educateUrl | Cadeia de caracteres | URL de notificação/suporte personalizado. Com suporte para tipos de ação Bloquear e Avisar para indicadores de URL. Opcional |
| generateAlert | Enum | True se a geração de alertas for necessária, False se esse indicador não deve gerar um alerta. |
Resposta
- Se for bem-sucedido, esse método retornará o código de resposta 200 – OK e a entidade indicador criada/atualizada no corpo da resposta.
- Se não for bem-sucedido: esse método retornará 400 – Solicitação incorreta. A solicitação incorreta geralmente indica o corpo incorreto.
Exemplo
Solicitação
Aqui está um exemplo da solicitação.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Artigo relacionado
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de