Поделиться через


API импорта индикаторов

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.

Совет

Для повышения производительности можно использовать сервер ближе к географическому расположению:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Описание API

Отправляет или Обновления пакет сущностей Индикатора.

Нотация CIDR для IP-адресов не поддерживается.

Ограничения

  1. Ограничения скорости для этого API — 30 вызовов в минуту.
  2. Существует ограничение в 15 000 активных индикаторов на клиент.
  3. Максимальный размер пакета для одного вызова API — 500.

Разрешения

Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Начало работы.

Тип разрешения Разрешение Отображаемое имя разрешения
Приложение Ti.ReadWrite Read and write Indicators
Приложение Ti.ReadWrite.All Read and write All Indicators
Делегированные (рабочая или учебная учетная запись) Ti.ReadWrite Read and write Indicators

HTTP-запрос

POST https://api.securitycenter.microsoft.com/api/indicators/import

Заголовки запросов

Имя Тип Описание
Авторизация String Bearer {token}. Обязательное поле.
Content-Type string application/json. Обязательное поле.

Текст запроса

В тексте запроса укажите объект JSON со следующими параметрами:

Параметр Тип Описание
Индикаторы Индикатор списка<> Список индикаторов. Required

Отклик

  • В случае успешного выполнения этот метод возвращает код ответа 200 — ОК со списком результатов импорта для каждого индикатора, см. следующий пример.
  • Если это не удалось: этот метод возвращает значение 400 — недопустимый запрос. Недопустимый запрос обычно указывает на неправильный текст.

Пример

Пример запроса

Ниже приведен пример запроса.

POST https://api.securitycenter.microsoft.com/api/indicators/import
{
    "Indicators":
    [
        {
            "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "title": "demo",
            "application": "demo-test",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Informational",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": ["group1", "group2"]
        },
        {
            "indicatorValue": "2233223322332233223322332233223322332233223322332233223322332222",
            "indicatorType": "FileSha256",
            "title": "demo2",
            "application": "demo-test2",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Medium",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": []
        }
    ]
}

Пример ответа

Ниже приведен пример отклика.

{
    "value": [
        {
            "id": "2841",
            "indicator": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "isFailed": false,
            "failureReason": null
        },
        {
            "id": "2842",
            "indicator": "2233223322332233223322332233223322332233223322332233223322332222",
            "isFailed": false,
            "failureReason": null
        }
    ]
}

Связанная статья

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.