Microsoft Defender XDR'da olay API'sini listeleme
Şunlar için geçerlidir:
Not
MS Graph güvenlik API'lerini kullanarak yeni API'lerimizi deneyin. Daha fazla bilgi için bkz. Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn.
Önemli
Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Olayları listeleme API'si, bilinçli bir siber güvenlik yanıtı oluşturmak için olayları sıralamanıza olanak tanır. Ortamınızı saklama ilkenizde belirttiğiniz zaman aralığında ağınızda bayrak eklenmiş bir olay koleksiyonunu kullanıma sunar. En son olaylar listenin en üstünde görüntülenir. Her olay bir dizi ilgili uyarı ve bunların ilgili varlıklarını içerir.
API aşağıdaki OData işleçlerini destekler:
-
$filter
lastUpdateTime
,createdTime
,status
veassignedTo
özelliklerinde -
$top
, en fazla 100 değerle $skip
- Sayfa boyutu üst sınırı 100 olaydır.
- İstek sayısı üst sınırı dakikada 50 çağrı ve saatte 1500 çağrıdır.
Bu API'yi çağırmak için aşağıdaki izinlerden biri gereklidir. İzinlerin nasıl seçileceği de dahil olmak üzere daha fazla bilgi edinmek için bkz. Access Microsoft Defender XDR API'leri
İzin türü | İzin | İzin görünen adı |
---|---|---|
Uygulama | Incident.Read.All | Tüm olayları okuma |
Uygulama | Incident.ReadWrite.All | Tüm olayları okuma ve yazma |
Temsilci (iş veya okul hesabı) | Incident.Read | Olayları okuma |
Temsilci (iş veya okul hesabı) | Incident.ReadWrite | Olayları okuma ve yazma |
Not
Kullanıcı kimlik bilgilerini kullanarak belirteç alırken:
- Kullanıcının portaldaki olaylar için görüntüleme iznine sahip olması gerekir.
- Yanıt yalnızca kullanıcının maruz kaldığı olayları içerir.
GET /api/incidents
Name | Tür | Açıklama |
---|---|---|
Yetkilendirme | Dize | Taşıyıcı {token}. Gerekli |
Hiçbiri.
Başarılı olursa, bu yöntem döndürür ve yanıt gövdesindeki olayların bir listesini döndürür200 OK
.
Alan adı | Açıklama | Örnek değer |
---|---|---|
incidentId | Olayı temsil eden benzersiz tanımlayıcı | 924565 |
redirectIncidentId | Yalnızca olay işleme mantığının bir parçası olarak bir olayın başka bir olayla birlikte gruplandırılması durumunda doldurulur. | 924569 |
incidentName | Her olay için kullanılabilen dize değeri. | Fidye yazılımı etkinliği |
createdTime | Olayın ilk oluşturulduğu zaman. | 2020-09-06T14:46:57.0733333Z |
lastUpdateTime | Olayın arka uçta en son güncelleştirildiği saat. Bu alan, olayların alınacağı zaman aralığı için istek parametresini ayarlarken kullanılabilir. |
2020-09-06T14:46:57.29Z |
Atanan | Olayın sahibi veya sahip atanmamışsa null . | secop2@contoso.com |
Sınıflandırma | Olayın belirtimi. Özellik değerleri şunlardır: Unknown, FalsePositive, TruePositive | Unknown |
Belirlenmesi | Olayın belirlenmesini belirtir. Özellik değerleri şunlardır: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, İstenmeyenSoftware, Diğer | Kullanılamaz |
detectionSource | Algılama kaynağını belirtir. | Bulut Uygulamaları için Defender |
Durum | Olayları kategorilere ayırın ( Etkin veya Çözüldü olarak). Olaylara yanıtınızı düzenlemenize ve yönetmenize yardımcı olabilir. | Etkin |
Önem | Varlıklar üzerindeki olası etkiyi gösterir. Önem derecesi ne kadar yüksek ise etki o kadar büyük olur. Genellikle daha yüksek önem derecesi öğeleri en acil dikkat gerektirir. Aşağıdaki değerlerden biri: Bilgilendirici, Düşük, *Orta ve Yüksek. |
Orta |
Etiketler | Bir olayla ilişkilendirilmiş özel etiketler dizisi, örneğin ortak bir özelliğe sahip bir olay grubuna bayrak ekleme. | [] |
Yorum | Olayı yönetirken secops tarafından oluşturulan açıklama dizisi, örneğin sınıflandırma seçimi hakkında ek bilgiler. | [] |
Uyarı | Olayla ilgili tüm uyarıların yanı sıra önem derecesi, uyarıda yer alan varlıklar ve uyarıların kaynağı gibi diğer bilgileri içeren dizi. | [] (aşağıdaki uyarı alanlarıyla ilgili ayrıntılara bakın) |
Alan adı | Açıklama | Örnek değer |
---|---|---|
alertId | Uyarıyı temsil eden benzersiz tanımlayıcı | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
incidentId | Bu uyarının ilişkili olduğu olayı temsil eden benzersiz tanımlayıcı | 924565 |
serviceSource | Uyarının kaynağı olan Uç Nokta için Microsoft Defender, Microsoft Defender for Cloud Apps, Kimlik için Microsoft Defender veya Office 365 için Microsoft Defender. | MicrosoftCloudAppSecurity |
creationTime | Uyarının ilk oluşturulduğu zaman. | 2020-09-06T14:46:55.7182276Z |
Lastupdatedtime | Uyarının arka uçta en son güncelleştirildiği saat. | 2020-09-06T14:46:57.2433333Z |
resolvedTime | Uyarının çözümlenme zamanı. | 2020-09-10T05:22:59Z |
firstActivity | Uyarının arka uçta etkinliğin güncelleştirildiğini ilk bildirdiği zaman. | 2020-09-04T05:22:59Z |
Başlık | Her uyarı için kullanılabilen kısa tanımlayıcı dize değeri. | Fidye yazılımı etkinliği |
Açıklama | Her uyarıyı açıklayan dize değeri. | Test Kullanıcısı2 (testUser2@contoso.com) kullanıcısı, yaygın olmayan herunterladen uzantısıyla biten birden çok uzantılı 99 dosyayı işledi. Bu, olağan dışı sayıda dosya işlemedir ve olası bir fidye yazılımı saldırısının göstergesidir. |
Kategori | Saldırının sonlandırma zinciri boyunca ne kadar ilerlediğini gösteren görsel ve sayısal görünüm. MITRE ATT&CK™ çerçevesine hizalanır. | Etki |
Durum | Uyarıları kategorilere ayırın ( Yeni, Etkin veya Çözüldü olarak). Uyarılara yanıtınızı düzenlemenize ve yönetmenize yardımcı olabilir. | Yeni |
Önem | Varlıklar üzerindeki olası etkiyi gösterir. Önem derecesi ne kadar yüksek ise etki o kadar büyük olur. Genellikle daha yüksek önem derecesi öğeleri en acil dikkat gerektirir. Aşağıdaki değerlerden biri: Bilgilendirici, Düşük, Orta ve Yüksek. |
Orta |
investigationId | Bu uyarı tarafından tetiklenen otomatik araştırma kimliği. | 1234 |
investigationState | Araştırmanın geçerli durumuyla ilgili bilgiler. Aşağıdaki değerlerden biri: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | DesteklenmeyenAlertType |
Sınıflandırma | Olayın belirtimi. Özellik değerleri şunlardır: Unknown, FalsePositive, TruePositive veya null | Unknown |
Belirlenmesi | Olayın belirlenmesini belirtir. Özellik değerleri şunlardır: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, İstenmeyenSoftware, Diğer veya null | Apt |
Atanan | Olayın sahibi veya sahip atanmamışsa null . | secop2@contoso.com |
actorName | Varsa, bu uyarıyla ilişkili etkinlik grubu. | BOR |
threatFamilyName | Bu uyarıyla ilişkili tehdit ailesi. | Null |
mitreTechniques | MITRE ATT&CK™ çerçevesiyle uyumlu saldırı teknikleri. | [] |
Aygıtları | Olayla ilgili uyarıların gönderildiği tüm cihazlar. | [] (aşağıdaki varlık alanlarıyla ilgili ayrıntılara bakın) |
Alan adı | Açıklama | Örnek değer |
---|---|---|
Deviceıd | Uç Nokta için Microsoft Defender'de belirtilen cihaz kimliği. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
aadDeviceId | Microsoft Entra ID'de belirtilen cihaz kimliği. Yalnızca etki alanına katılmış cihazlar için kullanılabilir. | Null |
deviceDnsName | Cihazın tam etki alanı adı. | user5cx.middleeast.corp.contoso.com |
osPlatform | Cihazın çalıştırılan işletim sistemi platformu. | WindowsServer2016 |
osBuild | Cihazın çalıştırılan işletim sistemi için derleme sürümü. | 14393 |
rbacGroupName | Cihazla ilişkili rol tabanlı erişim denetimi (RBAC) grubu. | WDATP-Ring0 |
firstSeen | Cihazın ilk görüldüğü zaman. | 2020-02-06T14:16:01.9330135Z |
healthStatus | Cihazın sistem durumu. | Etkin |
riskScore | Cihazın risk puanı. | Yüksek |
Varlık | Belirli bir uyarının parçası veya ilgili olduğu belirlenen tüm varlıklar. | [] (aşağıdaki varlık alanlarıyla ilgili ayrıntılara bakın) |
Alan adı | Açıklama | Örnek değer |
---|---|---|
Entitytype | Belirli bir uyarının parçası olduğu veya ilgili olduğu belirlenen varlıklar. Özellik değerleri şunlardır: User, Ip, Url, File, Process, MailBox, MailMessage, MailCluster, Registry |
Kullanıcı |
sha1 | entityType Dosya ise kullanılabilir. Bir dosya veya işlemle ilişkili uyarılar için dosya karması. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
sha256 | entityType Dosya ise kullanılabilir. Bir dosya veya işlemle ilişkili uyarılar için dosya karması. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
Dosyaadı | entityType Dosya ise kullanılabilir. Bir dosya veya işlemle ilişkili uyarıların dosya adı |
Detector.UnitTests.dll |
Filepath | entityType Dosya ise kullanılabilir. Bir dosya veya işlemle ilişkili uyarıların dosya yolu |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
Processıd | entityType İşlem ise kullanılabilir. | 24348 |
processCommandLine | entityType İşlem ise kullanılabilir. | "Dosyanız Download_1911150169.exe için hazır" |
processCreationTime | entityType İşlem ise kullanılabilir. | 2020-07-18T03:25:38.5269993Z |
parentProcessId | entityType İşlem ise kullanılabilir. | 16840 |
parentProcessCreationTime | entityType İşlem ise kullanılabilir. | 2020-07-18T02:12:32.8616797Z |
ıpaddress | entityType Ip ise kullanılabilir. Kötü amaçlı bir ağ hedefine iletişim gibi ağ olaylarıyla ilişkili uyarıların IP adresi. |
62.216.203.204 |
Url | entityType Url ise kullanılabilir. Kötü amaçlı bir ağ hedefine iletişim gibi ağ olaylarıyla ilişkili uyarıların URL'si. |
down.esales360.cn |
Accountname | entityType Kullanıcı ise kullanılabilir. | testUser2 |
Etkialanıadı | entityType Kullanıcı ise kullanılabilir. | europe.corp.contoso |
userSid | entityType Kullanıcı ise kullanılabilir. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
aadUserId | entityType Kullanıcı ise kullanılabilir. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
Userprincipalname | entityType , User/MailBox/MailMessage ise kullanılabilir. | testUser2@contoso.com |
mailboxDisplayName | entityType MailBox ise kullanılabilir. | test Kullanıcısı2 |
mailboxAddress | entityType , User/MailBox/MailMessage ise kullanılabilir. | testUser2@contoso.com |
clusterBy | entityType MailCluster ise kullanılabilir. | Konu; P2SenderDomain; Contenttype |
Gönderen | entityType , User/MailBox/MailMessage ise kullanılabilir. | user.abc@mail.contoso.co.in |
Alıcı | entityType MailMessage ise kullanılabilir. | testUser2@contoso.com |
Konu | entityType MailMessage ise kullanılabilir. | [EXTERNAL] Dikkat |
deliveryAction | entityType MailMessage ise kullanılabilir. | Teslim |
securityGroupId | entityType SecurityGroup ise kullanılabilir. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
securityGroupName | entityType SecurityGroup ise kullanılabilir. | Ağ Yapılandırma İşleçleri |
Registryhive | entityType Kayıt Defteri ise kullanılabilir. | HKEY_LOCAL_MACHINE |
registryKey | entityType Kayıt Defteri ise kullanılabilir. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
registryValueType | entityType Kayıt Defteri ise kullanılabilir. | Dize |
registryValue | entityType Kayıt Defteri ise kullanılabilir. | 31-00-00-00 |
Deviceıd | Varsa, varlıkla ilgili cihazın kimliği. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
GET https://api.security.microsoft.com/api/incidents
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.