Lista incident-API i Microsoft Defender XDR
Gäller för:
Obs!
Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
API-beskrivning
Med API:et för listincidenter kan du sortera igenom incidenter för att skapa ett välgrundat cybersäkerhetssvar. Den exponerar en samling incidenter som har flaggats i nätverket inom det tidsintervall som du angav i din miljökvarhållningsprincip. De senaste incidenterna visas överst i listan. Varje incident innehåller en matris med relaterade aviseringar och deras relaterade entiteter.
API:et stöder följande OData-operatorer :
$filterlastUpdateTimepå egenskaperna ,createdTime,statusochassignedTo$top, med ett maxvärde på 100$skip
Begränsningar
- Maximal sidstorlek är 100 incidenter.
- Maximal frekvens för begäranden är 50 anrop per minut och 1 500 anrop per timme.
Behörigheter
En av följande behörigheter krävs för att anropa det här API:et. Mer information, inklusive hur du väljer behörigheter, finns i Åtkomst Microsoft Defender XDR-API:er
| Behörighetstyp | Behörighet | Visningsnamn för behörighet |
|---|---|---|
| Program | Incident.Read.All | Läsa alla incidenter |
| Program | Incident.ReadWrite.All | Läsa och skriva alla incidenter |
| Delegerat (arbets- eller skolkonto) | Incident.Read | Läs incidenter |
| Delegerat (arbets- eller skolkonto) | Incident.ReadWrite | Läs- och skrivincidenter |
Obs!
När du hämtar en token med användarautentiseringsuppgifter:
- Användaren måste ha visningsbehörighet för incidenter i portalen.
- Svaret omfattar endast incidenter som användaren exponeras för.
HTTP-begäran
GET /api/incidents
Frågerubriker
| Namn | Typ | Beskrivning |
|---|---|---|
| Tillstånd | Sträng | Ägaren {token}. Obligatoriskt |
Frågebrödtext
Ingen.
Svar
Om det lyckas returnerar 200 OKden här metoden , och en lista över incidenter i svarstexten.
Schemamappning
Incidentmetadata
| Fältnamn | Beskrivning | Exempelvärde |
|---|---|---|
| incidentId | Unik identifierare som representerar incidenten | 924565 |
| redirectIncidentId | Endast ifyllt om en incident grupperas tillsammans med en annan incident, som en del av incidentbearbetningslogik. | 924569 |
| incidentName | Strängvärde tillgängligt för varje incident. | Utpressningstrojanaktivitet |
| createdTime | Tidpunkt då incidenten först skapades. | 2020-09-06T14:46:57.0733333Z |
| lastUpdateTime | Tidpunkt då incidenten senast uppdaterades på serverdelen. Det här fältet kan användas när du ställer in begärandeparametern för det tidsintervall som incidenter hämtas. |
2020-09-06T14:46:57.29Z |
| Tilldelat | Ägare till incidenten eller null om ingen ägare har tilldelats. | secop2@contoso.com |
| Klassificering | Specifikationen för incidenten. Egenskapsvärdena är: Okänd, FalsePositive, TruePositive | Okänd |
| Bestämning | Anger fastställandet av incidenten. Egenskapsvärdena är: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | NotAvailable |
| detectionSource | Anger identifieringskälla. | Defender för Molnappar |
| Status | Kategorisera incidenter (som aktiva eller lösta). Det kan hjälpa dig att organisera och hantera dina svar på incidenter. | Aktiv |
| Svårighetsgrad | Anger den möjliga påverkan på tillgångar. Ju högre allvarlighetsgrad desto större påverkan. Normalt kräver objekt med högre allvarlighetsgrad den mest omedelbara uppmärksamheten. Ett av följande värden: Information,Låg, *Medel och Hög. |
Medel |
| Taggar | Matris med anpassade taggar som är associerade med en incident, till exempel för att flagga en grupp incidenter med en gemensam egenskap. | [] |
| Kommentarer | Matris med kommentarer som skapats av secops vid hantering av incidenten, till exempel ytterligare information om klassificeringsvalet. | [] |
| Varningar | Matris som innehåller alla aviseringar som är relaterade till incidenten, plus annan information, till exempel allvarlighetsgrad, entiteter som var inblandade i aviseringen och källan till aviseringarna. | [] (se information om aviseringsfält nedan) |
Metadata för aviseringar
| Fältnamn | Beskrivning | Exempelvärde |
|---|---|---|
| alertId | Unik identifierare som representerar aviseringen | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| incidentId | Unik identifierare som representerar incidenten som den här aviseringen är associerad med | 924565 |
| serviceSource | Tjänst som aviseringen kommer från, till exempel Microsoft Defender för Endpoint, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity eller Microsoft Defender för Office 365. | MicrosoftCloudAppSecurity |
| creationTime | Tid då aviseringen först skapades. | 2020-09-06T14:46:55.7182276Z |
| lastUpdatedTime | Tid då aviseringen senast uppdaterades på serverdelen. | 2020-09-06T14:46:57.2433333Z |
| resolvedTime | Tid då aviseringen löstes. | 2020-09-10T05:22:59Z |
| firstActivity | Tid då aviseringen först rapporterade att aktiviteten uppdaterades på serverdelen. | 2020-09-04T05:22:59Z |
| Titel | Kort identifierande strängvärde som är tillgängligt för varje avisering. | Utpressningstrojanaktivitet |
| beskrivning | Strängvärde som beskriver varje avisering. | Användaren Test User2 (testUser2@contoso.com) manipulerade 99 filer med flera tillägg som slutade med det ovanliga tillägget herunterladen. Detta är ett ovanligt antal filmanipuleringar och är ett tecken på en potentiell utpressningstrojanattack. |
| Kategori | Visuell och numerisk vy över hur långt attacken har gått längs kill-kedjan. Justerat efter MITRE ATT-&CK-ramverket™. | Påverkan |
| Status | Kategorisera aviseringar (som Ny, Aktiv eller Löst). Det kan hjälpa dig att organisera och hantera ditt svar på aviseringar. | Ny |
| Svårighetsgrad | Anger den möjliga påverkan på tillgångar. Ju högre allvarlighetsgrad desto större påverkan. Normalt kräver objekt med högre allvarlighetsgrad den mest omedelbara uppmärksamheten. Ett av följande värden: Information,Låg, Medel och Hög. |
Medel |
| investigationId | Det automatiserade undersöknings-ID som utlöses av den här aviseringen. | 1234 |
| investigationState | Information om undersökningens aktuella status. Ett av följande värden: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | AlertType stöds inte |
| Klassificering | Specifikationen för incidenten. Egenskapsvärdena är: Okänd, FalsePositive, TruePositive eller null | Okänd |
| Bestämning | Anger fastställandet av incidenten. Egenskapsvärdena är: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other eller null | Apt |
| Tilldelat | Ägare till incidenten eller null om ingen ägare har tilldelats. | secop2@contoso.com |
| actorName | Aktivitetsgruppen, om någon, som är associerad med den här aviseringen. | BOR |
| threatFamilyName | Hotfamilj som är associerad med den här aviseringen. | Null |
| mitreTechniques | Attackteknikerna överensstämmer med MITRE ATT-&CK-ramverket™. | [] |
| Enheter | Alla enheter där aviseringar relaterade till incidenten skickades. | [] (se information om entitetsfält nedan) |
Enhetsformat
| Fältnamn | Beskrivning | Exempelvärde |
|---|---|---|
| Deviceid | Enhets-ID:t enligt Microsoft Defender för Endpoint. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
| aadDeviceId | Enhets-ID:t som anges i Microsoft Entra ID. Endast tillgängligt för domänanslutna enheter. | Null |
| deviceDnsName | Enhetens fullständigt kvalificerade domännamn. | user5cx.middleeast.corp.contoso.com |
| osPlatform | Operativsystemplattformen som enheten körs på. | WindowsServer2016 |
| osBuild | Versionsversionen för operativsystemet som enheten kör. | 14393 |
| rbacGroupName | Den rollbaserade åtkomstkontrollgruppen (RBAC) som är associerad med enheten. | WDATP-Ring0 |
| firstSeen | Tid då enheten först sågs. | 2020-02-06T14:16:01.9330135Z |
| healthStatus | Enhetens hälsotillstånd. | Aktiv |
| riskScore | Riskpoängen för enheten. | Högsta |
| Enheter | Alla entiteter som har identifierats vara en del av eller relaterade till en viss avisering. | [] (se information om entitetsfält nedan) |
Entitetsformat
| Fältnamn | Beskrivning | Exempelvärde |
|---|---|---|
| entityType | Entiteter som har identifierats vara en del av eller relaterade till en viss avisering. Egenskapsvärdena är: Användare, Ip, URL, Fil, Process, MailBox, MailMessage, MailCluster, Registry |
Användare |
| sha1 | Tillgängligt om entityType är Fil. Filhashen för aviseringar som är associerade med en fil eller process. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
| sha256 | Tillgängligt om entityType är Fil. Filhashen för aviseringar som är associerade med en fil eller process. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| Filnamn | Tillgängligt om entityType är Fil. Filnamnet för aviseringar som är associerade med en fil eller process |
Detector.UnitTests.dll |
| Filepath | Tillgängligt om entityType är Fil. Filsökvägen för aviseringar som är associerade med en fil eller process |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| Processid | Tillgängligt om entityType är Process. | 24348 |
| processCommandLine | Tillgängligt om entityType är Process. | "Filen är redo att Download_1911150169.exe" |
| processCreationTime | Tillgängligt om entityType är Process. | 2020-07-18T03:25:38.5269993Z |
| parentProcessId | Tillgängligt om entityType är Process. | 16840 |
| parentProcessCreationTime | Tillgängligt om entityType är Process. | 2020-07-18T02:12:32.8616797Z |
| Ip | Tillgängligt om entityType är IP. IP-adress för aviseringar som är associerade med nätverkshändelser, till exempel Kommunikation till ett skadligt nätverksmål. |
62.216.203.204 |
| Url | Tillgängligt om entityType är URL. URL för aviseringar som är associerade med nätverkshändelser, till exempel kommunikation till ett skadligt nätverksmål. |
down.esales360.cn |
| accountName | Tillgängligt om entityType är Användare. | testUser2 |
| Domännamn | Tillgängligt om entityType är Användare. | europe.corp.contoso |
| userSid | Tillgängligt om entityType är Användare. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| aadUserId | Tillgängligt om entityType är Användare. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| userPrincipalName | Tillgängligt om entityType är User/MailBox/MailMessage. | testUser2@contoso.com |
| mailboxDisplayName | Tillgängligt om entityType är MailBox. | testanvändare2 |
| mailboxAddress | Tillgängligt om entityType är User/MailBox/MailMessage. | testUser2@contoso.com |
| clusterBy | Tillgängligt om entityType är MailCluster. | Ämne; P2SenderDomain; Contenttype |
| Avsändaren | Tillgängligt om entityType är User/MailBox/MailMessage. | user.abc@mail.contoso.co.in |
| Mottagaren | Tillgängligt om entityType är MailMessage. | testUser2@contoso.com |
| Ämne | Tillgängligt om entityType är MailMessage. | [EXTERN] Uppmärksamhet |
| deliveryAction | Tillgängligt om entityType är MailMessage. | Levereras |
| securityGroupId | Tillgängligt om entityType är SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| securityGroupName | Tillgängligt om entityType är SecurityGroup. | Nätverkskonfigurationsoperatorer |
| registryHive | Tillgängligt om entityType är Registry. | HKEY_LOCAL_MACHINE |
| registryKey | Tillgängligt om entityType är Registry. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| registryValueType | Tillgängligt om entityType är Registry. | Sträng |
| registryValue | Tillgängligt om entityType är Registry. | 31-00-00-00 |
| Deviceid | ID:t för enheten som är relaterad till entiteten. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
Exempel
Exempel på begäran
GET https://api.security.microsoft.com/api/incidents
Svarsexempel
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Relaterade artiklar
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.