Прочитать на английском

Поделиться через


Список API инцидентов в Microsoft Defender XDR

Область применения:

Примечание

Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Описание API

API списков инцидентов позволяет отсортировать инциденты, чтобы создать информированный ответ кибербезопасности. Он предоставляет коллекцию инцидентов, которые были помечены в сети, в диапазоне времени, указанном в политике хранения среды. Самые последние инциденты отображаются в верхней части списка. Каждый инцидент содержит массив связанных оповещений и связанных с ними сущностей.

API поддерживает следующие операторы OData :

  • $filterв свойствах lastUpdateTime, createdTime, statusи assignedTo
  • $top, с максимальным значением 100
  • $skip

Ограничения

  1. Максимальный размер страницы — 100 инцидентов.
  2. Максимальная скорость запросов — 50 вызовов в минуту и 1500 вызовов в час.

Разрешения

Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Api Microsoft Defender XDR доступа.

Тип разрешения Разрешение Отображаемое имя разрешения
Приложение Incident.Read.All Чтение всех инцидентов
Приложение Incident.ReadWrite.All Чтение и запись всех инцидентов
Делегированные (рабочая или учебная учетная запись) Incident.Read Чтение инцидентов
Делегированные (рабочая или учебная учетная запись) Incident.ReadWrite Инциденты чтения и записи

Примечание

При получении маркера с использованием учетных данных пользователя:

  • Пользователь должен иметь разрешение на просмотр инцидентов на портале.
  • Ответ будет включать только инциденты, которым подвергается пользователь.

HTTP-запрос

GET /api/incidents

Заголовки запросов

Имя Тип Описание
Авторизация String Bearer {token}. Required

Текст запроса

Нет.

Отклик

В случае успешного выполнения этот метод возвращает 200 OKи список инцидентов в тексте ответа.

Сопоставление схемы

Метаданные инцидента

Имя поля Описание Пример значения
incidentId Уникальный идентификатор для представления инцидента 924565
redirectIncidentId Заполняется только в том случае, если инцидент группируется вместе с другим инцидентом в рамках логики обработки инцидента. 924569
incidentName Строковое значение, доступное для каждого инцидента. Действия программы-шантажиста.
createdTime Время первого создания инцидента. 2020-09-06T14:46:57.073333Z
lastUpdateTime Время последнего обновления инцидента в серверной части.

Это поле можно использовать при задании параметра запроса для диапазона времени, в течение которого извлекаются инциденты.

2020-09-06T14:46:57.29Z
assignedTo Владелец инцидента или значение NULL , если владелец не назначен. secop2@contoso.com
classification Спецификация инцидента. Значения свойств: Unknown, FalsePositive, TruePositive Unknown
Определение Указывает определение инцидента. Значения свойств: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other NotAvailable
detectionSource Указывает источник обнаружения. Defender for Cloud Apps
status Классифицируйте инциденты ( активные или разрешенные). Она помогает организовать реагирование на инциденты и управлять ими. Активное
severity Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют самого непосредственного внимания.

Одно из следующих значений: Информационный, Низкий, *Средний и Высокий.

Средняя
tags Массив настраиваемых тегов, связанных с инцидентом, например для пометки группы инцидентов с общей характеристикой. []
comments Массив комментариев, создаваемых secops при управлении инцидентом, например дополнительные сведения о выборе классификации. []
оповещения Массив, содержащий все оповещения, связанные с инцидентом, а также другую информацию, например серьезность, сущности, которые были вовлечены в оповещение, и источник оповещений. [] (см. подробные сведения о полях оповещений ниже)

Метаданные оповещений

Имя поля Описание Пример значения
alertId Уникальный идентификатор, представляющий оповещение caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId Уникальный идентификатор, представляющий инцидент, с которым связано это оповещение 924565
serviceSource Служба, из которой исходит оповещение, например Microsoft Defender для конечной точки, Microsoft Defender for Cloud Apps, Microsoft Defender для удостоверений или Microsoft Defender для Office 365. MicrosoftCloudAppSecurity
creationTime Время создания оповещения. 2020-09-06T14:46:55.7182276Z
lastUpdatedTime Время последнего обновления оповещения на серверной части. 2020-09-06T14:46:57.243333Z
resolvedTime Время, когда оповещение было разрешено. 2020-09-10T05:22:59Z
firstActivity Время, когда оповещение впервые сообщило, что действие было обновлено на серверной части. 2020-09-04T05:22:59Z
title Краткое определение строкового значения, доступного для каждого оповещения. Действия программы-шантажиста.
description Строковое значение, описывающее каждое оповещение. Пользователь Test User2 (testUser2@contoso.com) управлял 99 файлами с несколькими расширениями, заканчивающимися необычным расширением herunterladen. Это необычное количество операций с файлами и указывает на потенциальную атаку программы-шантажиста.
category Визуальное и числовое представление о том, как далеко атака продвигалась по цепочке уничтожения. Соответствует платформе MITRE ATT&CK™. Влияние
status Классифицируйте оповещения ( новые, активные или разрешенные). С его помощью можно упорядочить ответы на оповещения и управлять ими. Создать
severity Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют самого непосредственного внимания.
Одно из следующих значений: Информационный, Низкий, Средний и Высокий.
Средняя
investigationId Идентификатор автоматического исследования, активируется этим оповещением. 1234
investigationState Сведения о текущем состоянии расследования. Одно из следующих значений: Unknown, Terminated, SuccessfullyRemediated, Доброкачественный, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. НеподдерживаемыйAlertType
classification Спецификация инцидента. Значения свойств: Unknown, FalsePositive, TruePositive или NULL. Unknown
Определение Указывает определение инцидента. Значения свойств: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other или NULL Apt
assignedTo Владелец инцидента или значение NULL , если владелец не назначен. secop2@contoso.com
actorName Группа действий , если она есть, связанная с этим оповещением. БОРА
threatFamilyName Семейство угроз, связанное с этим оповещением. null
mitreTechniques Методы атаки в соответствии с MITRE ATT&платформы CK™. []
devices Все устройства, на которые были отправлены оповещения, связанные с инцидентом. [] (см. подробные сведения о полях сущностей ниже)

Формат устройства

Имя поля Описание Пример значения
DeviceId Идентификатор устройства, указанный в Microsoft Defender для конечной точки. 24c222b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceId Идентификатор устройства, указанный в Microsoft Entra ID. Доступно только для устройств, присоединенных к домену. null
deviceDnsName Полное доменное имя устройства. user5cx.middleeast.corp.contoso.com
osPlatform Платформа ОС, на котором работает устройство. WindowsServer2016
osBuild Версия сборки для ОС, на котором работает устройство. 14393
rbacGroupName Группа управления доступом на основе ролей (RBAC), связанная с устройством. WDATP-Ring0
firstSeen Время, когда устройство было впервые замечено. 2020-02-06T14:16:01.9330135Z
healthStatus Состояние работоспособности устройства. Активное
riskScore Оценка риска для устройства. Высокая
Объекты Все сущности, которые были определены как часть или связанные с данным оповещением. [] (см. подробные сведения о полях сущностей ниже)

Формат сущности

Имя поля Описание Пример значения
Entitytype Сущности, которые были определены как часть или связанные с данным оповещением.
Значения свойств: User, Ip, URL, File, Process, MailBox, MailMessage, MailCluster, Registry
Пользователь
sha1 Доступно, если entityType имеет значение File.
Хэш файла для оповещений, связанных с файлом или процессом.
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 Доступно, если entityType имеет значение File.
Хэш файла для оповещений, связанных с файлом или процессом.
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
fileName Доступно, если entityType имеет значение File.
Имя файла оповещений, связанных с файлом или процессом
Detector.UnitTests.dll
filePath Доступно, если entityType имеет значение File.
Путь к файлу оповещений, связанных с файлом или процессом
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
processId Доступно, если entityType имеет значение Process. 24348
processCommandLine Доступно, если entityType имеет значение Process. "Файл готов к Download_1911150169.exe"
processCreationTime Доступно, если entityType имеет значение Process. 2020-07-18T03:25:38.5269993Z
parentProcessId Доступно, если entityType имеет значение Process. 16840
parentProcessCreationTime Доступно, если entityType имеет значение Process. 2020-07-18T02:12:32.8616797Z
ipAddress Доступно, если entityType имеет значение Ip.
IP-адрес оповещений, связанных с сетевыми событиями, такими как обмен данными с вредоносным сетевым назначением.
62.216.203.204
url Доступно, если entityType имеет значение URL-адрес.
URL-адрес оповещений, связанных с сетевыми событиями, такими как Обмен данными с вредоносным сетевым назначением.
down.esales360.cn
accountName Доступно, если entityType имеет значение User. testUser2
domainName Доступно, если entityType имеет значение User. europe.corp.contoso
userSid Доступно, если entityType имеет значение User. S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId Доступно, если entityType имеет значение User. fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName. Доступно, если entityType имеет значение User/MailBox/MailMessage. testUser2@contoso.com
mailboxDisplayName Доступно, если entityType имеет значение MailBox. test User2
mailboxAddress Доступно, если entityType имеет значение User/MailBox/MailMessage. testUser2@contoso.com
clusterBy Доступно, если entityType — MailCluster. Тема; P2SenderDomain; Contenttype
sender Доступно, если entityType имеет значение User/MailBox/MailMessage. user.abc@mail.contoso.co.in
получатель; Доступно, если entityType имеет значение MailMessage. testUser2@contoso.com
subject Доступно, если entityType имеет значение MailMessage. [EXTERNAL] Внимание
deliveryAction Доступно, если entityType имеет значение MailMessage. Доставлено
securityGroupId Доступно, если entityType имеет значение SecurityGroup. 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName Доступно, если entityType имеет значение SecurityGroup. Операторы конфигурации сети
registryHive Доступно, если entityType имеет значение Registry. HKEY_LOCAL_MACHINE
Registrykey Доступно, если entityType имеет значение Registry. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType Доступно, если entityType имеет значение Registry. String
registryValue Доступно, если entityType имеет значение Registry. 31-00-00-00
deviceId Идентификатор устройства, связанного с сущностью , если он есть. 986e5df8b73dacd43c8917d17e523e76b13c75cd

Пример

Пример запроса

GET https://api.security.microsoft.com/api/incidents

Пример ответа

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.