API отправки или обновления индикаторов
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Примечание.
Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.
Совет
Для повышения производительности можно использовать сервер ближе к географическому расположению:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Описание API
Отправляет или обновляет новую сущность индикатора .
Нотация CIDR для IP-адресов не поддерживается.
Ограничения
- Ограничения скорости для этого API — 100 вызовов в минуту и 1500 вызовов в час.
- Существует ограничение в 15 000 активных индикаторов на каждого клиента.
Разрешения
Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Начало работы.
| Тип разрешения | Разрешение | Отображаемое имя разрешения |
|---|---|---|
| Приложение | Ti.ReadWrite | Read and write Indicators |
| Приложение | Ti.ReadWrite.All | Read and write All Indicators |
| Делегированные (рабочая или учебная учетная запись) | Ti.ReadWrite | Read and write Indicators |
HTTP-запрос
POST https://api.securitycenter.microsoft.com/api/indicators
Заголовки запросов
| Имя | Тип | Описание |
|---|---|---|
| Авторизация | String | Bearer {token}. Обязательное поле. |
| Content-Type | string | application/json. Обязательное поле. |
Текст запроса
В тексте запроса укажите объект JSON со следующими параметрами:
| Параметр | Тип | Описание |
|---|---|---|
| indicatorValue | String | Удостоверение сущности Индикатор . Required |
| indicatorType | Перечисление | Тип индикатора. Возможные значения: FileSha1, FileMd5, CertificateThumbprint, FileSha256, IpAddress, DomainNameи Url.
Required |
| action | Перечисление | Действие, выполняемое при обнаружении индикатора в организации. Возможные значения: Alert, Warn, Block, Audit, BlockAndRemediate, AlertAndBlockи Allowed.
Обязательное поле. Параметр GenerateAlert должен иметь значение TRUE при создании действия с Audit. |
| приложение | String | Приложение, связанное с индикатором. Это поле работает только для новых индикаторов. Значение существующего индикатора не обновляется. Необязательное |
| title | String | Заголовок оповещения индикатора. Required |
| description | String | Описание индикатора. Required |
| expirationTime | DateTimeOffset | Время окончания срока действия индикатора. Необязательное |
| severity | Перечисление | Серьезность индикатора. Возможные значения: Informational, Low, Medium и High.
Необязательное |
| recommendedActions | String | Рекомендуемые действия с оповещением индикатора TI. Необязательное |
| rbacGroupNames | String | Разделенный запятыми список имен групп RBAC, к которые будет применен индикатор. Необязательное |
| educateUrl | String | Пользовательский URL-адрес уведомления и поддержки. Поддерживается для типов действий Блокировать и Предупреждать для индикаторов URL-адресов. Необязательное |
| generateAlert | Перечисление | Значение True , если требуется создание оповещений, значение False , если этот индикатор не должен создавать оповещение. |
Отклик
- В случае успешного выполнения этот метод возвращает код ответа 200 — ОК и созданную или обновленную сущность Indicator в тексте отклика.
- Если это не удалось: этот метод возвращает значение 400 — недопустимый запрос. Недопустимый запрос обычно указывает на неправильный текст.
Пример
Запрос
Ниже приведен пример запроса.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Связанная статья
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.