Dela via


API för listindikatorer

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Obs!

Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.

Tips

För bättre prestanda kan du använda servern närmare din geoplats:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-beskrivning

Hämtar en samling med alla aktiva indikatorer.

Stöder OData V4-frågor.

OData-frågan $filter stöds på egenskaperna: application, createdByDisplayName, expirationTime, generateAlert, , rbacGroupNamestitle, rbacGroupIds, indicatorValue, indicatorType, creationTimeDateTimeUtc, createdBy, action, och severity .
$stop med maxvärdet 10 000.
$skip.

Se exempel på OData-frågor med Microsoft Defender för Endpoint.

Begränsningar

Frekvensbegränsningar för det här API:et är 100 anrop per minut och 1 500 anrop per timme.

Behörigheter

En av följande behörigheter krävs för att anropa det här API:et. Mer information, inklusive hur du väljer behörigheter, finns i Kom igång.

Behörighetstyp Behörighet Visningsnamn för behörighet
Program Ti.ReadWrite Read and write Indicators
Program Ti.ReadWrite.All Read and write All Indicators
Delegerat (arbets- eller skolkonto) Ti.ReadWrite Read and write Indicators

HTTP-begäran

GET https://api.securitycenter.microsoft.com/api/indicators

Frågerubriker

Namn Typ Beskrivning
Tillstånd Sträng Ägaren {token}. Krävs.

Frågebrödtext

Tom

Svar

Om det lyckas returnerar den här metoden 200 ok-svarskod med en samling indikatorentiteter.

Obs!

Om programmet har Ti.ReadWrite.All behörighet exponeras det för alla indikatorer. Annars exponeras den bara för de indikatorer som den skapade.

Exempel 1

Exempel 1-begäran

Här är ett exempel på en begäran som hämtar alla indikatorer.

GET https://api.securitycenter.microsoft.com/api/indicators

Exempel 1-svar

Här är ett exempel på svaret.

HTTP/1.1 200 Ok
Content-type: application/json
{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
    "value": [
        {
            "id": "995",
            "indicatorValue": "12.13.14.15",
            "indicatorType": "IpAddress",
            "action": "Alert",
            "application": "demo-test",
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T11:15:35.3688259Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "test",
            "rbacGroupNames": []
        },
        {
            "id": "996",
            "indicatorValue": "220e7d15b0b3d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "action": "AlertAndBlock",
            "application": null,
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "TEST",
            "rbacGroupNames": [ "Group1", "Group2" ]
        }
        ...
    ]
}

Exempel 2

Exempel 2-begäran

Här är ett exempel på en begäran som hämtar alla indikatorer med AlertAndBlock åtgärd.

GET https://api.securitycenter.microsoft.com/api/indicators?$filter=action+eq+'AlertAndBlock'

Exempel 2-svar

Här är ett exempel på svaret.

HTTP/1.1 200 Ok
Content-type: application/json
{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
    "value": [
        {
            "id": "997",
            "indicatorValue": "111e7d15b0b3d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "action": "AlertAndBlock",
            "application": null,
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "TEST",
            "rbacGroupNames": [ "Group1", "Group2" ]
        }
        ...
    ]
}

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.