导入指示器 API

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint

希望体验 Microsoft Defender for Endpoint？ 注册免费试用版。

注意

如果你是美国政府客户，请使用 适用于美国政府客户的 Microsoft Defender for Endpoint 中列出的 URI。

提示

为了提高性能，可以使用离地理位置更近的服务器：

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

API 说明

提交或更新 指示器 实体批处理。

不支持 IP 的 CIDR 表示法。

限制

1. 此 API 的速率限制为每分钟 30 个调用。
2. 每个租户限制为 15,000 个活动 指示器 。
3. 一个 API 调用的最大批大小为 500。

权限

要调用此 API，需要以下权限之一。 若要了解详细信息（包括如何选择权限），请参阅 入门。

权限类型	权限	权限显示名称
应用程序	Ti.ReadWrite	Read and write Indicators
应用程序	Ti.ReadWrite.All	Read and write All Indicators
委派（工作或学校帐户）	Ti.ReadWrite	Read and write Indicators

HTTP 请求

POST https://api.securitycenter.microsoft.com/api/indicators/import

请求标头

名称	类型	说明
Authorization	String	持有者 {token}。 必需。
Content-Type	string	application/json. 必需。

请求正文

在请求正文中，提供具有以下参数的 JSON 对象：

参数	类型	说明
指示器	列表<指示器>	指示器列表。 必需

响应

• 如果成功，此方法返回 200 - OK 响应代码，其中包含每个指示器的导入结果列表，请参阅以下示例。
• 如果未成功：此方法返回 400 - 错误的请求。 错误的请求通常表示正文不正确。

示例

请求示例

下面是请求的示例。

POST https://api.securitycenter.microsoft.com/api/indicators/import

{
    "Indicators":
    [
        {
            "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "title": "demo",
            "application": "demo-test",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Informational",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": ["group1", "group2"]
        },
        {
            "indicatorValue": "2233223322332233223322332233223322332233223322332233223322332222",
            "indicatorType": "FileSha256",
            "title": "demo2",
            "application": "demo-test2",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Medium",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": []
        }
    ]
}

响应示例

以下是响应示例。

{
    "value": [
        {
            "id": "2841",
            "indicator": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "isFailed": false,
            "failureReason": null
        },
        {
            "id": "2842",
            "indicator": "2233223322332233223322332233223322332233223322332233223322332222",
            "isFailed": false,
            "failureReason": null
        }
    ]
}

相关文章

• 管理指示器

提示

想要了解更多信息？ 在技术社区中与 Microsoft 安全社区互动： Microsoft Defender for Endpoint 技术社区。