Dela via

Skicka eller uppdatera indikator-API

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Obs!

Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.

Tips

För bättre prestanda kan du använda servern närmare din geoplats:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

API-beskrivning

Skickar eller Uppdateringar ny indikatorentitet.

CIDR-notation för IP-adresser stöds inte.

Begränsningar

  1. Frekvensbegränsningar för det här API:et är 100 anrop per minut och 1 500 anrop per timme.
  2. Det finns en gräns på 15 000 aktiva indikatorer per klientorganisation.

Behörigheter

En av följande behörigheter krävs för att anropa det här API:et. Mer information, inklusive hur du väljer behörigheter, finns i Kom igång.

Behörighetstyp Behörighet Visningsnamn för behörighet
Program Ti.ReadWrite Read and write Indicators
Program Ti.ReadWrite.All Read and write All Indicators
Delegerat (arbets- eller skolkonto) Ti.ReadWrite Read and write Indicators

HTTP-begäran

POST https://api.securitycenter.microsoft.com/api/indicators

Frågerubriker

Namn Typ Beskrivning
Tillstånd Sträng Ägaren {token}. Krävs.
Content-Type sträng application/json. Krävs.

Frågebrödtext

I begärandetexten anger du ett JSON-objekt med följande parametrar:

Parameter Typ Beskrivning
indicatorValue Sträng Identitet för indikatorentiteten . Obligatoriskt
indicatorType Enum Indikatorns typ. Möjliga värden är: FileSha1, FileMd5, CertificateThumbprint, FileSha256, IpAddress, DomainNameoch Url. Obligatoriskt
åtgärd Enum Den åtgärd som vidtas om indikatorn identifieras i organisationen. Möjliga värden är: Alert, Warn, Block, Audit, BlockAndRemediate, AlertAndBlockoch Allowed. Krävs. Parametern GenerateAlert måste anges till TRUE när du skapar en åtgärd med Audit.
Program Sträng Programmet som är associerat med indikatorn. Det här fältet fungerar bara för nya indikatorer. Det uppdaterar inte värdet på en befintlig indikator. Valfri
Titel Sträng Indikatoraviseringsrubrik. Obligatoriskt
beskrivning Sträng Beskrivning av indikatorn. Obligatoriskt
expirationTime DateTimeOffset Indikatorns förfallotid. Valfri
Svårighetsgrad Enum Allvarlighetsgraden för indikatorn. Möjliga värden är: Informational, Low, Mediumoch High. Valfri
recommendedActions Sträng Rekommenderade åtgärder för TI-indikatoravisering. Valfri
rbacGroupNames Sträng Kommaavgränsad lista över RBAC-gruppnamn som indikatorn skulle tillämpas på. Valfri
educateUrl Sträng Anpassad meddelande-/support-URL. Stöds för åtgärdstyperna Blockera och Varna för URL-indikatorer. Valfri
generateAlert Enum Sant om aviseringsgenerering krävs, Falskt om den här indikatorn inte ska generera en avisering.

Svar

  • Om det lyckas returnerar den här metoden 200 – OK-svarskod och den skapade/uppdaterade indikatorentiteten i svarstexten.
  • Om det inte lyckas returnerar den här metoden 400 – Felaktig begäran. Felaktig begäran indikerar vanligtvis felaktig brödtext.

Exempel

Begäran

Här är ett exempel på begäran.

POST https://api.securitycenter.microsoft.com/api/indicators

{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

Relaterad artikel

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.