API för listindikatorer
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Obs!
Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.
Tips
För bättre prestanda kan du använda servern närmare din geoplats:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-beskrivning
Hämtar en samling med alla aktiva indikatorer.
Stöder OData V4-frågor.
OData-frågan $filter
stöds på egenskaperna: application
, createdByDisplayName
, expirationTime
, generateAlert
, , rbacGroupNames
title
, rbacGroupIds
, indicatorValue
, indicatorType
, creationTimeDateTimeUtc
, createdBy
, action
, och severity
.
$stop
med maxvärdet 10 000.
$skip
.
Se exempel på OData-frågor med Microsoft Defender för Endpoint.
Begränsningar
Frekvensbegränsningar för det här API:et är 100 anrop per minut och 1 500 anrop per timme.
Behörigheter
En av följande behörigheter krävs för att anropa det här API:et. Mer information, inklusive hur du väljer behörigheter, finns i Kom igång.
Behörighetstyp | Behörighet | Visningsnamn för behörighet |
---|---|---|
Program | Ti.ReadWrite | Read and write Indicators |
Program | Ti.ReadWrite.All | Read and write All Indicators |
Delegerat (arbets- eller skolkonto) | Ti.ReadWrite | Read and write Indicators |
HTTP-begäran
GET https://api.securitycenter.microsoft.com/api/indicators
Frågerubriker
Namn | Typ | Beskrivning |
---|---|---|
Tillstånd | Sträng | Ägaren {token}. Krävs. |
Frågebrödtext
Tom
Svar
Om det lyckas returnerar den här metoden 200 ok-svarskod med en samling indikatorentiteter.
Obs!
Om programmet har Ti.ReadWrite.All
behörighet exponeras det för alla indikatorer. Annars exponeras den bara för de indikatorer som den skapade.
Exempel 1
Exempel 1-begäran
Här är ett exempel på en begäran som hämtar alla indikatorer.
GET https://api.securitycenter.microsoft.com/api/indicators
Exempel 1-svar
Här är ett exempel på svaret.
HTTP/1.1 200 Ok
Content-type: application/json
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
"value": [
{
"id": "995",
"indicatorValue": "12.13.14.15",
"indicatorType": "IpAddress",
"action": "Alert",
"application": "demo-test",
"source": "TestPrdApp",
"sourceType": "AadApp",
"title": "test",
"creationTimeDateTimeUtc": "2018-10-24T11:15:35.3688259Z",
"createdBy": "45097602-1234-5678-1234-9f453233e62c",
"expirationTime": "2020-12-12T00:00:00Z",
"lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
"lastUpdatedBy": TestPrdApp,
"severity": "Informational",
"description": "test",
"recommendedActions": "test",
"rbacGroupNames": []
},
{
"id": "996",
"indicatorValue": "220e7d15b0b3d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"action": "AlertAndBlock",
"application": null,
"source": "TestPrdApp",
"sourceType": "AadApp",
"title": "test",
"creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
"createdBy": "45097602-1234-5678-1234-9f453233e62c",
"expirationTime": "2020-12-12T00:00:00Z",
"lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
"lastUpdatedBy": TestPrdApp,
"severity": "Informational",
"description": "test",
"recommendedActions": "TEST",
"rbacGroupNames": [ "Group1", "Group2" ]
}
...
]
}
Exempel 2
Exempel 2-begäran
Här är ett exempel på en begäran som hämtar alla indikatorer med AlertAndBlock
åtgärd.
GET https://api.securitycenter.microsoft.com/api/indicators?$filter=action+eq+'AlertAndBlock'
Exempel 2-svar
Här är ett exempel på svaret.
HTTP/1.1 200 Ok
Content-type: application/json
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
"value": [
{
"id": "997",
"indicatorValue": "111e7d15b0b3d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"action": "AlertAndBlock",
"application": null,
"source": "TestPrdApp",
"sourceType": "AadApp",
"title": "test",
"creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
"createdBy": "45097602-1234-5678-1234-9f453233e62c",
"expirationTime": "2020-12-12T00:00:00Z",
"lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
"lastUpdatedBy": TestPrdApp,
"severity": "Informational",
"description": "test",
"recommendedActions": "TEST",
"rbacGroupNames": [ "Group1", "Group2" ]
}
...
]
}
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.