Listar a API de incidentes no Microsoft Defender XDR
Aplica-se a:
Nota
Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.
Importante
Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
Descrição da API
A API de incidentes de lista permite-lhe ordenar através de incidentes para criar uma resposta de cibersegurança informada. Expõe uma coleção de incidentes que foram sinalizados na sua rede, dentro do intervalo de tempo que especificou na política de retenção do ambiente. Os incidentes mais recentes são apresentados na parte superior da lista. Cada incidente contém uma matriz de alertas relacionados e as respetivas entidades relacionadas.
A API suporta os seguintes operadores OData :
$filternaslastUpdateTimepropriedades ,createdTime,statuseassignedTo$top, com um valor máximo de 100$skip
Limitações
- O tamanho máximo da página é de 100 incidentes.
- A taxa máxima de pedidos é de 50 chamadas por minuto e 1500 chamadas por hora.
Permissões
É necessária uma das seguintes permissões para chamar esta API. Para saber mais, incluindo como escolher permissões, veja Access Microsoft Defender XDR APIs
| Tipo de permissão | Permissão | Nome a apresentar da permissão |
|---|---|---|
| Aplicação | Incident.Read.All | Ler todos os incidentes |
| Aplicação | Incident.ReadWrite.All | Ler e escrever todos os incidentes |
| Delegado (conta escolar ou profissional) | Incident.Read | Ler incidentes |
| Delegado (conta escolar ou profissional) | Incident.ReadWrite | Incidentes de leitura e escrita |
Nota
Ao obter um token com credenciais de utilizador:
- O utilizador tem de ter permissão de visualização para incidentes no portal.
- A resposta incluirá apenas incidentes aos quais o utilizador está exposto.
Pedido HTTP
GET /api/incidents
Cabeçalhos de pedido
| Name | Tipo | Descrição |
|---|---|---|
| Autorização | Cadeia | Portador {token}. Obrigatório |
Corpo do pedido
Nenhum.
Resposta
Se for bem-sucedido, este método devolve 200 OKe uma lista de incidentes no corpo da resposta.
Mapeamento de esquemas
Metadados de incidentes
| Nome do campo | Descrição | Valor de exemplo |
|---|---|---|
| incidentId | Identificador exclusivo para representar o incidente | 924565 |
| redirectIncidentId | Apenas preenchido no caso de um incidente estar a ser agrupado juntamente com outro incidente, como parte da lógica de processamento de incidentes. | 924569 |
| incidentName | Valor da cadeia disponível para cada incidente. | Atividade de ransomware |
| createdTime | Hora em que o incidente foi criado pela primeira vez. | 09-2020-06T14:46:57.0733333Z |
| lastUpdateTime | Hora em que o incidente foi atualizado pela última vez no back-end. Este campo pode ser utilizado quando estiver a definir o parâmetro de pedido para o intervalo de tempo durante o qual os incidentes são obtidos. |
2020-09-06T14:46:57.29Z |
| atribuído A | Proprietário do incidente ou nulo se não for atribuído nenhum proprietário. | secop2@contoso.com |
| classificação | A especificação do incidente. Os valores das propriedades são: Desconhecido, FalsePositive, TruePositive | Unknown |
| determinação | Especifica a determinação do incidente. Os valores das propriedades são: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | Não Disponível |
| detectionSource | Especifica a origem da deteção. | Defender for Cloud Apps |
| estado | Categorizar incidentes (como Ativos ou Resolvidos). Pode ajudá-lo a organizar e gerir a sua resposta a incidentes. | Ativo |
| gravidade | Indica o possível impacto nos recursos. Quanto maior for a gravidade, maior será o impacto. Normalmente, os itens de gravidade mais elevados requerem a atenção mais imediata. Um dos seguintes valores: Informativo, Baixo, *Médio e Alto. |
Médio |
| etiquetas | Matriz de etiquetas personalizadas associadas a um incidente, por exemplo, para sinalizar um grupo de incidentes com uma característica comum. | [] |
| comentários | Matriz de comentários criados por secops ao gerir o incidente, por exemplo, informações adicionais sobre a seleção de classificação. | [] |
| alertas | Matriz que contém todos os alertas relacionados com o incidente, bem como outras informações, como gravidade, entidades envolvidas no alerta e a origem dos alertas. | [] (veja os detalhes nos campos de alerta abaixo) |
Metadados de alertas
| Nome do campo | Descrição | Valor de exemplo |
|---|---|---|
| alertId | Identificador exclusivo para representar o alerta | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| incidentId | Identificador exclusivo para representar o incidente ao qual este alerta está associado | 924565 |
| serviceSource | Serviço de origem do alerta, como Microsoft Defender para Endpoint, Microsoft Defender for Cloud Apps, Microsoft Defender para Identidade ou Microsoft Defender para Office 365. | MicrosoftCloudAppSecurity |
| creationTime | Hora em que o alerta foi criado pela primeira vez. | 09-2020-06T14:46:55.7182276Z |
| lastUpdatedTime | Hora em que o alerta foi atualizado pela última vez no back-end. | 09-2020-06T14:46:57.2433333Z |
| resolvedTime | Hora em que o alerta foi resolvido. | 2020-09-10T05:22:59Z |
| firstActivity | Hora em que o alerta reportou pela primeira vez que a atividade foi atualizada no back-end. | 2020-09-04T05:22:59Z |
| título | Breve identificação do valor da cadeia disponível para cada alerta. | Atividade de ransomware |
| descrição | Valor da cadeia que descreve cada alerta. | O utilizador Test User2 (testUser2@contoso.com) manipulou 99 ficheiros com múltiplas extensões terminando com a extensão herunterladen incomum. Este é um número invulgar de manipulações de ficheiros e é indicativo de um potencial ataque de ransomware. |
| categoria | Vista visual e numérica de até onde o ataque progrediu ao longo da cadeia de eliminação. Alinhado com a arquitetura MITRE ATT&CK™. | Impacto |
| estado | Categorizar alertas (como Novo, Ativo ou Resolvido). Pode ajudá-lo a organizar e gerir a sua resposta a alertas. | Novo |
| gravidade | Indica o possível impacto nos recursos. Quanto maior for a gravidade, maior será o impacto. Normalmente, os itens de gravidade mais elevados requerem a atenção mais imediata. Um dos seguintes valores: Informativo, Baixo, Médio e Alto. |
Médio |
| investigationId | O ID de investigação automatizado acionado por este alerta. | 1234 |
| investigationState | Informações sobre o estado atual da investigação. Um dos seguintes valores: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | Não SuportadoAlertType |
| classificação | A especificação do incidente. Os valores da propriedade são: Desconhecido, FalsoPositivo, TruePositive ou nulo | Unknown |
| determinação | Especifica a determinação do incidente. Os valores das propriedades são: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other ou null | Apt |
| atribuído A | Proprietário do incidente ou nulo se não for atribuído nenhum proprietário. | secop2@contoso.com |
| actorName | O grupo de atividade, se existir, o associado a este alerta. | BORON |
| threatFamilyName | Família de ameaças associada a este alerta. | nulo |
| mitreTechniques | As técnicas de ataque, alinhadas com a arquitetura MITRE ATT&CK™. | [] |
| dispositivos | Todos os dispositivos para os quais foram enviados alertas relacionados com o incidente. | [] (veja os detalhes sobre os campos de entidade abaixo) |
Formato do dispositivo
| Nome do campo | Descrição | Valor de exemplo |
|---|---|---|
| DeviceId | O ID do dispositivo, conforme designado no Microsoft Defender para Endpoint. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
| aadDeviceId | O ID do dispositivo, conforme designado no Microsoft Entra ID. Apenas disponível para dispositivos associados a um domínio. | nulo |
| deviceDnsName | O nome de domínio completamente qualificado do dispositivo. | user5cx.middleeast.corp.contoso.com |
| osPlatform | A plataforma do SO que o dispositivo está a executar. | WindowsServer2016 |
| osBuild | A versão de compilação do SO que o dispositivo está a executar. | 14393 |
| rbacGroupName | O grupo de controlo de acesso baseado em funções (RBAC) associado ao dispositivo. | WDATP-Ring0 |
| firstSeen | Hora em que o dispositivo foi visto pela primeira vez. | 02-2020-06T14:16:01.9330135Z |
| healthStatus | O estado de funcionamento do dispositivo. | Ativo |
| riskScore | A classificação de risco para o dispositivo. | High |
| entidades | Todas as entidades que foram identificadas como fazendo parte ou relacionadas com um determinado alerta. | [] (veja os detalhes sobre os campos de entidade abaixo) |
Formato da Entidade
| Nome do campo | Descrição | Valor de exemplo |
|---|---|---|
| entityType | Entidades que foram identificadas como fazendo parte ou relacionadas com um determinado alerta. Os valores das propriedades são: Utilizador, Ip, Url, Ficheiro, Processo, Caixa de Correio, MailMessage, MailCluster, Registo |
Utilizador |
| sha1 | Disponível se entityType for Ficheiro. O hash de ficheiro para alertas associados a um ficheiro ou processo. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
| sha256 | Disponível se entityType for Ficheiro. O hash de ficheiro para alertas associados a um ficheiro ou processo. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| fileName | Disponível se entityType for Ficheiro. O nome do ficheiro para alertas associados a um ficheiro ou processo |
Detector.UnitTests.dll |
| filePath | Disponível se entityType for Ficheiro. O caminho do ficheiro para alertas associados a um ficheiro ou processo |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| processId | Disponível se entityType for Processo. | 24348 |
| processCommandLine | Disponível se entityType for Processo. | "O seu ficheiro está pronto para Download_1911150169.exe" |
| processCreationTime | Disponível se entityType for Processo. | 07-2020-18T03:25:38.5269993Z |
| parentProcessId | Disponível se entityType for Processo. | 16840 |
| parentProcessCreationTime | Disponível se entityType for Processo. | 07-2020-18T02:12:32.8616797Z |
| endereço ip | Disponível se entityType for Ip. Endereço IP para alertas associados a eventos de rede, como Comunicação para um destino de rede malicioso. |
62.216.203.204 |
| URL | Disponível se entityType for URL. URL para alertas associados a eventos de rede, como Comunicação para um destino de rede malicioso. |
down.esales360.cn |
| accountName | Disponível se entityType for Utilizador. | testUser2 |
| domainName | Disponível se entityType for Utilizador. | europe.corp.contoso |
| userSid | Disponível se entityType for Utilizador. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| aadUserId | Disponível se entityType for Utilizador. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| userPrincipalName | Disponível se entityType forMailBox/MailMessage do Utilizador/. | testUser2@contoso.com |
| mailboxDisplayName | Disponível se entityType for Caixa de Correio. | testar Utilizador2 |
| mailboxAddress | Disponível se entityType forMailBox/MailMessage do Utilizador/. | testUser2@contoso.com |
| clusterBy | Disponível se entityType for MailCluster. | Assunto; P2SenderDomain; ContentType |
| remetente | Disponível se entityType forMailBox/MailMessage do Utilizador/. | user.abc@mail.contoso.co.in |
| destinatário | Disponível se entityType for MailMessage. | testUser2@contoso.com |
| assunto | Disponível se entityType for MailMessage. | [EXTERNO] Atenção |
| deliveryAction | Disponível se entityType for MailMessage. | Entregue |
| securityGroupId | Disponível se entityType for SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| securityGroupName | Disponível se entityType for SecurityGroup. | Operadores de Configuração de Rede |
| registryHive | Disponível se entityType for Registo. | HKEY_LOCAL_MACHINE |
| registryKey | Disponível se entityType for Registo. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| registryValueType | Disponível se entityType for Registo. | Cadeia |
| registryValue | Disponível se entityType for Registo. | 31-00-00-00 |
| deviceId | O ID, se existir, do dispositivo relacionado com a entidade. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
Exemplos:
Exemplo de pedido
GET https://api.security.microsoft.com/api/incidents
Exemplo de resposta
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Artigos relacionados
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.