指示器资源类型
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
注意
如果你是美国政府客户,请使用 适用于美国政府客户的 Microsoft Defender for Endpoint 中列出的 URI。
提示
为了提高性能,可以使用离地理位置更近的服务器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- 请参阅门户中相应的 “指示器”页 。
| 方法 | 返回类型 | 说明 |
|---|---|---|
| 列出指示器 | 指示器 收集 | 列出 指示器 实体。 |
| 提交指示器 | 指示器 | 提交或更新 指示器 实体。 |
| 导入指示器 | 指示器 收集 | 提交或更新 指标 实体。 |
| 删除指示器 | 无内容 | 删除 指示器 实体。 |
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| id | String | 指示器实体的标识。 |
| indicatorValue | String | 指示器的值。 |
| indicatorType | 枚举 | 指示器的类型。 可能的值为:FileSha1、、FileSha256、FileMd5、CertificateThumbprintIpAddress、DomainName、 和 Url。 |
| 应用程序 | String | 与指示器关联的应用程序。 |
| action | 枚举 | 在组织中发现指示器时执行的操作。 可能的值为:Warn、、Block、Audit、AlertAlertAndBlock、BlockAndRemediate、 和 Allowed。 |
| externalID | String | 客户可以在请求中提交的自定义关联 ID。 |
| sourceType | 枚举 |
User 如果用户创建的指示器 (例如,从门户) , AadApp 如果它通过 API 使用自动应用程序提交,则为 。 |
| createdBySource | string | 提交指示器的用户/应用程序的名称。 |
| createdBy | String | 提交指示器的用户/应用程序的唯一标识。 |
| lastUpdatedBy | String | 上次更新指示器的用户/应用程序的标识。 |
| creationTimeDateTimeUtc | DateTimeOffset | 创建指示器的日期和时间。 |
| expirationTime | DateTimeOffset | 指示器的过期时间。 |
| lastUpdateTime | DateTimeOffset | 上次更新指示器的时间。 |
| severity | 枚举 | 指示器的严重性。 可能的值为: Informational、 Low、 Medium和 High。 |
| title | String | 指示器标题。 |
| 说明 | String | 指示器的说明。 |
| recommendedActions | String | 针对指示器的建议操作。 |
| rbacGroupNames | 字符串列表 | 指示器公开并处于活动状态的 RBAC 设备组名称。 如果它公开给所有设备,则为空列表。 |
| rbacGroupIds | 字符串列表 | 指示器公开并处于活动状态的 RBAC 设备组 ID。 如果它公开给所有设备,则为空列表。 |
| generateAlert | 枚举 | 如果需要生成警报,则为 True;如果此指示器不应生成警报,则为 False。 |
指示器类型
API 支持的指示器操作类型包括:
- Allowed
- Audit
- 阻止
- BlockAndRemediate
- 仅警告 (Defender for Cloud Apps)
有关响应操作类型说明的详细信息,请参阅 创建指示器。
注意
在 2022 年 1 月之前,将支持先前的响应操作 (AlertAndBlock 和 Alert) 。 在此日期之后,所有客户都必须使用本节中列出的操作类型之一。
Json 表示形式
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
另请参阅
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。