Dela via


Lista incident-API i Microsoft Defender XDR

Gäller för:

Obs!

Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

API-beskrivning

Med API:et för listincidenter kan du sortera igenom incidenter för att skapa ett välgrundat cybersäkerhetssvar. Den exponerar en samling incidenter som har flaggats i nätverket inom det tidsintervall som du angav i din miljökvarhållningsprincip. De senaste incidenterna visas överst i listan. Varje incident innehåller en matris med relaterade aviseringar och deras relaterade entiteter.

API:et stöder följande OData-operatorer :

  • $filterlastUpdateTimepå egenskaperna , createdTime, statusoch assignedTo
  • $top, med ett maxvärde på 100
  • $skip

Begränsningar

  1. Maximal sidstorlek är 100 incidenter.
  2. Maximal frekvens för begäranden är 50 anrop per minut och 1 500 anrop per timme.

Behörigheter

En av följande behörigheter krävs för att anropa det här API:et. Mer information, inklusive hur du väljer behörigheter, finns i Åtkomst Microsoft Defender XDR-API:er

Behörighetstyp Behörighet Visningsnamn för behörighet
Program Incident.Read.All Läsa alla incidenter
Program Incident.ReadWrite.All Läsa och skriva alla incidenter
Delegerat (arbets- eller skolkonto) Incident.Read Läs incidenter
Delegerat (arbets- eller skolkonto) Incident.ReadWrite Läs- och skrivincidenter

Obs!

När du hämtar en token med användarautentiseringsuppgifter:

  • Användaren måste ha visningsbehörighet för incidenter i portalen.
  • Svaret omfattar endast incidenter som användaren exponeras för.

HTTP-begäran

GET /api/incidents

Frågerubriker

Namn Typ Beskrivning
Tillstånd Sträng Ägaren {token}. Obligatoriskt

Frågebrödtext

Ingen.

Svar

Om det lyckas returnerar 200 OKden här metoden , och en lista över incidenter i svarstexten.

Schemamappning

Incidentmetadata

Fältnamn Beskrivning Exempelvärde
incidentId Unik identifierare som representerar incidenten 924565
redirectIncidentId Endast ifyllt om en incident grupperas tillsammans med en annan incident, som en del av incidentbearbetningslogik. 924569
incidentName Strängvärde tillgängligt för varje incident. Utpressningstrojanaktivitet
createdTime Tidpunkt då incidenten först skapades. 2020-09-06T14:46:57.0733333Z
lastUpdateTime Tidpunkt då incidenten senast uppdaterades på serverdelen.

Det här fältet kan användas när du ställer in begärandeparametern för det tidsintervall som incidenter hämtas.

2020-09-06T14:46:57.29Z
Tilldelat Ägare till incidenten eller null om ingen ägare har tilldelats. secop2@contoso.com
Klassificering Specifikationen för incidenten. Egenskapsvärdena är: Okänd, FalsePositive, TruePositive Okänd
Bestämning Anger fastställandet av incidenten. Egenskapsvärdena är: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other NotAvailable
detectionSource Anger identifieringskälla. Defender för Molnappar
Status Kategorisera incidenter (som aktiva eller lösta). Det kan hjälpa dig att organisera och hantera dina svar på incidenter. Aktiv
Svårighetsgrad Anger den möjliga påverkan på tillgångar. Ju högre allvarlighetsgrad desto större påverkan. Normalt kräver objekt med högre allvarlighetsgrad den mest omedelbara uppmärksamheten.

Ett av följande värden: Information,Låg, *Medel och Hög.

Medel
Taggar Matris med anpassade taggar som är associerade med en incident, till exempel för att flagga en grupp incidenter med en gemensam egenskap. []
Kommentarer Matris med kommentarer som skapats av secops vid hantering av incidenten, till exempel ytterligare information om klassificeringsvalet. []
Varningar Matris som innehåller alla aviseringar som är relaterade till incidenten, plus annan information, till exempel allvarlighetsgrad, entiteter som var inblandade i aviseringen och källan till aviseringarna. [] (se information om aviseringsfält nedan)

Metadata för aviseringar

Fältnamn Beskrivning Exempelvärde
alertId Unik identifierare som representerar aviseringen caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId Unik identifierare som representerar incidenten som den här aviseringen är associerad med 924565
serviceSource Tjänst som aviseringen kommer från, till exempel Microsoft Defender för Endpoint, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity eller Microsoft Defender för Office 365. MicrosoftCloudAppSecurity
creationTime Tid då aviseringen först skapades. 2020-09-06T14:46:55.7182276Z
lastUpdatedTime Tid då aviseringen senast uppdaterades på serverdelen. 2020-09-06T14:46:57.2433333Z
resolvedTime Tid då aviseringen löstes. 2020-09-10T05:22:59Z
firstActivity Tid då aviseringen först rapporterade att aktiviteten uppdaterades på serverdelen. 2020-09-04T05:22:59Z
Titel Kort identifierande strängvärde som är tillgängligt för varje avisering. Utpressningstrojanaktivitet
beskrivning Strängvärde som beskriver varje avisering. Användaren Test User2 (testUser2@contoso.com) manipulerade 99 filer med flera tillägg som slutade med det ovanliga tillägget herunterladen. Detta är ett ovanligt antal filmanipuleringar och är ett tecken på en potentiell utpressningstrojanattack.
Kategori Visuell och numerisk vy över hur långt attacken har gått längs kill-kedjan. Justerat efter MITRE ATT-&CK-ramverket™. Påverkan
Status Kategorisera aviseringar (som Ny, Aktiv eller Löst). Det kan hjälpa dig att organisera och hantera ditt svar på aviseringar. Ny
Svårighetsgrad Anger den möjliga påverkan på tillgångar. Ju högre allvarlighetsgrad desto större påverkan. Normalt kräver objekt med högre allvarlighetsgrad den mest omedelbara uppmärksamheten.
Ett av följande värden: Information,Låg, Medel och Hög.
Medel
investigationId Det automatiserade undersöknings-ID som utlöses av den här aviseringen. 1234
investigationState Information om undersökningens aktuella status. Ett av följande värden: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. AlertType stöds inte
Klassificering Specifikationen för incidenten. Egenskapsvärdena är: Okänd, FalsePositive, TruePositive eller null Okänd
Bestämning Anger fastställandet av incidenten. Egenskapsvärdena är: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other eller null Apt
Tilldelat Ägare till incidenten eller null om ingen ägare har tilldelats. secop2@contoso.com
actorName Aktivitetsgruppen, om någon, som är associerad med den här aviseringen. BOR
threatFamilyName Hotfamilj som är associerad med den här aviseringen. Null
mitreTechniques Attackteknikerna överensstämmer med MITRE ATT-&CK-ramverket™. []
Enheter Alla enheter där aviseringar relaterade till incidenten skickades. [] (se information om entitetsfält nedan)

Enhetsformat

Fältnamn Beskrivning Exempelvärde
Deviceid Enhets-ID:t enligt Microsoft Defender för Endpoint. 24c222b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceId Enhets-ID:t som anges i Microsoft Entra ID. Endast tillgängligt för domänanslutna enheter. Null
deviceDnsName Enhetens fullständigt kvalificerade domännamn. user5cx.middleeast.corp.contoso.com
osPlatform Operativsystemplattformen som enheten körs på. WindowsServer2016
osBuild Versionsversionen för operativsystemet som enheten kör. 14393
rbacGroupName Den rollbaserade åtkomstkontrollgruppen (RBAC) som är associerad med enheten. WDATP-Ring0
firstSeen Tid då enheten först sågs. 2020-02-06T14:16:01.9330135Z
healthStatus Enhetens hälsotillstånd. Aktiv
riskScore Riskpoängen för enheten. Högsta
Enheter Alla entiteter som har identifierats vara en del av eller relaterade till en viss avisering. [] (se information om entitetsfält nedan)

Entitetsformat

Fältnamn Beskrivning Exempelvärde
entityType Entiteter som har identifierats vara en del av eller relaterade till en viss avisering.
Egenskapsvärdena är: Användare, Ip, URL, Fil, Process, MailBox, MailMessage, MailCluster, Registry
Användare
sha1 Tillgängligt om entityType är Fil.
Filhashen för aviseringar som är associerade med en fil eller process.
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 Tillgängligt om entityType är Fil.
Filhashen för aviseringar som är associerade med en fil eller process.
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
Filnamn Tillgängligt om entityType är Fil.
Filnamnet för aviseringar som är associerade med en fil eller process
Detector.UnitTests.dll
Filepath Tillgängligt om entityType är Fil.
Filsökvägen för aviseringar som är associerade med en fil eller process
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
Processid Tillgängligt om entityType är Process. 24348
processCommandLine Tillgängligt om entityType är Process. "Filen är redo att Download_1911150169.exe"
processCreationTime Tillgängligt om entityType är Process. 2020-07-18T03:25:38.5269993Z
parentProcessId Tillgängligt om entityType är Process. 16840
parentProcessCreationTime Tillgängligt om entityType är Process. 2020-07-18T02:12:32.8616797Z
Ip Tillgängligt om entityType är IP.
IP-adress för aviseringar som är associerade med nätverkshändelser, till exempel Kommunikation till ett skadligt nätverksmål.
62.216.203.204
Url Tillgängligt om entityType är URL.
URL för aviseringar som är associerade med nätverkshändelser, till exempel kommunikation till ett skadligt nätverksmål.
down.esales360.cn
accountName Tillgängligt om entityType är Användare. testUser2
Domännamn Tillgängligt om entityType är Användare. europe.corp.contoso
userSid Tillgängligt om entityType är Användare. S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId Tillgängligt om entityType är Användare. fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName Tillgängligt om entityType är User/MailBox/MailMessage. testUser2@contoso.com
mailboxDisplayName Tillgängligt om entityType är MailBox. testanvändare2
mailboxAddress Tillgängligt om entityType är User/MailBox/MailMessage. testUser2@contoso.com
clusterBy Tillgängligt om entityType är MailCluster. Ämne; P2SenderDomain; Contenttype
Avsändaren Tillgängligt om entityType är User/MailBox/MailMessage. user.abc@mail.contoso.co.in
Mottagaren Tillgängligt om entityType är MailMessage. testUser2@contoso.com
Ämne Tillgängligt om entityType är MailMessage. [EXTERN] Uppmärksamhet
deliveryAction Tillgängligt om entityType är MailMessage. Levereras
securityGroupId Tillgängligt om entityType är SecurityGroup. 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName Tillgängligt om entityType är SecurityGroup. Nätverkskonfigurationsoperatorer
registryHive Tillgängligt om entityType är Registry. HKEY_LOCAL_MACHINE
registryKey Tillgängligt om entityType är Registry. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType Tillgängligt om entityType är Registry. Sträng
registryValue Tillgängligt om entityType är Registry. 31-00-00-00
Deviceid ID:t för enheten som är relaterad till entiteten. 986e5df8b73dacd43c8917d17e523e76b13c75cd

Exempel

Exempel på begäran

GET https://api.security.microsoft.com/api/incidents

Svarsexempel

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.