共用方式為


列出 Microsoft Defender 全面偵測回應 中的事件 API

適用於:

注意事項

使用 MS Graph 安全性 API 試用新的 API。 深入瞭解: 使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn

重要事項

部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

API 描述

清單事件 API 可讓您排序事件,以建立明智的網路安全性回應。 它會在您環境保留原則中指定的時間範圍內,公開已在網路中標幟的事件集合。 最新的事件會顯示在清單頂端。 每個事件都包含相關警示及其相關實體的陣列。

API 支援下列 OData 運算 子:

  • $filter在、 lastUpdateTimecreatedTimestatusassignedTo 屬性上
  • $top,最大值為 100
  • $skip

限制

  1. 頁面大小上限為 100個事件
  2. 要求的速率上限為 每分鐘 50 次呼叫每小時 1500 次呼叫

權限

呼叫此 API 需要下列其中一個許可權。 若要深入瞭解,包括如何選擇許可權,請參閱存取 Microsoft Defender 全面偵測回應 API

許可權類型 權限 許可權顯示名稱
應用程式 Incident.Read.All 讀取所有事件
應用程式 Incident.ReadWrite.All 讀取和寫入所有事件
委派 (公司或學校帳戶) Incident.Read 讀取事件
委派 (公司或學校帳戶) Incident.ReadWrite 讀取和寫入事件

注意事項

使用使用者認證取得權杖時:

  • 用戶必須擁有入口網站中事件的檢視許可權。
  • 回應只會包含用戶公開的事件。

HTTP 要求

GET /api/incidents

要求標頭

名稱 類型 描述
授權 字串 持有人 {token}。 Required

要求內文

無。

回應

如果成功,這個方法會傳回 200 OK,以及回應本文中 的事件 清單。

架構對應

事件元數據

欄位名稱 描述 範例值
incidentId 代表事件的唯一標識符 924565
redirectIncidentId 只有在事件與另一個事件群組在一起時才會填入,作為事件處理邏輯的一部分。 924569
incidentName 每個事件可用的字串值。 勒索軟體活動
createdTime 第一次建立事件的時間。 2020-09-06T14:46:57.0733333Z
lastUpdateTime 上次更新後端事件的時間。

當您針對擷取事件的時間範圍設定要求參數時,可以使用此欄位。

2020-09-06T14:46:57.29Z
assignedTo 事件的擁有者,如果未指派擁有者,則為 null secop2@contoso.com
分類 事件的規格。 屬性值為: UnknownFalsePositiveTruePositive Unknown
測定 指定事件的判斷。 屬性值為: NotAvailableAptMalwareSecurityPersonnelSecurityTestingUnwantedSoftwareOther NotAvailable
detectionSource 指定偵測來源。 Defender for Cloud Apps
狀態 將事件分類 (為作用中或 已解決) 。 它可協助您組織和管理事件的回應。 作用中
嚴重性 指出對資產可能造成的影響。 嚴重性越高,影響就越大。 通常較高的嚴重性專案需要最立即注意。

下列其中一個值: InformationalLow、*Medium 和 High

標記 與事件相關聯的自定義標籤列,例如,將具有常見特性的事件群組標示。 []
註解 管理事件時 secops 所建立的批注陣列,例如分類選取的其他資訊。 []
警報 數位,包含與事件相關的所有警示,以及其他資訊,例如嚴重性、涉及警示的實體,以及警示的來源。 [] (查看下方警示字段的詳細數據)

警示元數據

欄位名稱 描述 範例值
alertId 代表警示的唯一標識碼 caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId 代表與此警示相關聯之事件的唯一標識符 924565
serviceSource 警示源自的服務,例如 適用於端點的 Microsoft Defender、Microsoft Defender for Cloud Apps、適用於身分識別的 Microsoft Defender 或適用於 Office 365 的 Microsoft Defender。 MicrosoftCloudAppSecurity
creationTime 第一次建立警示的時間。 2020-09-06T14:46:55.7182276Z
lastUpdatedTime 上次在後端更新警示的時間。 2020-09-06T14:46:57.2433333Z
resolvedTime 解決警示的時間。 2020-09-10T05:22:59Z
firstActivity 警示第一次報告活動已在後端更新的時間。 2020-09-04T05:22:59Z
title 每個警示可用的簡短識別字串值。 勒索軟體活動
描述 描述每個警示的字串值。 用戶測試 User2 (testUser2@contoso.com) 操作了 99 個擴展名,並以不常用 的擴展名結尾。 這是不尋常的檔案操作數目,表示潛在的勒索軟體攻擊。
類別 攻擊在刪除鏈結中進展程度的視覺和數值檢視。 對齊 MITRE ATT&CK™ 架構 影響
狀態 將警示分類 (為 [新增]、[ 作用中] 或 [ 已解決 ]) 。 它可協助您組織和管理警示的回應。 新增
嚴重性 指出對資產可能造成的影響。 嚴重性越高,影響就越大。 通常較高的嚴重性專案需要最立即注意。
下列其中一個值: InformationalLowMediumHigh
investigationId 此警示所觸發的自動化調查標識碼。 1234
investigationState 調查目前狀態的相關信息。 下列其中一個值:UnknownTerminatedSuccessfullyRemediatedBenignFailedPartiallyRemediatedRunningPendingApprovalPendingResourcePartiallyInvestigatedTerminatedByUserTerminatedBySystemQueuedInnerFailurePreexistingAlertUnsupportedOsUnsupportedAlertType、SuppressedAlert UnsupportedAlertType
分類 事件的規格。 屬性值為: UnknownFalsePositiveTruePositivenull Unknown
測定 指定事件的判斷。 屬性值為: NotAvailableAptMalwareSecurityPersonnelSecurityTestingUnwantedSoftwareOthernull 容易
assignedTo 事件的擁有者,如果未指派擁有者,則為 null secop2@contoso.com
actorName 活動群組,如果有的話,則為與此警示相關聯的 。
threatFamilyName 與此警示相關聯的威脅系列。 Null
mitreTechniques MITRE ATT&CK™ 架構一致的攻擊技術。 []
devices 已傳送與事件相關警示的所有裝置。 [] (查看下方實體字段的詳細數據)

裝置格式

欄位名稱 描述 範例值
DeviceId 適用於端點的 Microsoft Defender 中指定的裝置識別碼。 24c222b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceId Microsoft Entra ID 中指定的裝置識別。 僅適用於已加入網域的裝置。 Null
deviceDnsName 裝置的完整功能變數名稱。 user5cx.middleeast.corp.contoso.com
osPlatform 裝置正在執行的OS平臺。 WindowsServer2016
osBuild 裝置正在執行之 OS 的組建版本。 14393
rbacGroupName 角色 型訪問控制 (與裝置相關聯的 RBAC) 群組。 WDATP-Ring0
firstSeen 第一次看到裝置的時間。 2020-02-06T14:16:01.9330135Z
healthStatus 裝置的健康情況狀態。 作用中
riskScore 裝置的風險分數。
實體 已識別為指定警示一部分或相關的所有實體。 [] (查看下方實體字段的詳細數據)

實體格式

欄位名稱 描述 範例值
entityType 已識別為指定警示一部分或相關實體的實體。
屬性值為: UserIpUrlFileProcessMailBoxMailMessageMailClusterRegistry
使用者
sha1 如果 entityType 是 File,則可使用。
與檔案或進程相關聯之警示的檔案哈希。
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 如果 entityType 是 File,則可使用。
與檔案或進程相關聯之警示的檔案哈希。
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
檔名 如果 entityType 是 File,則可使用。
與檔案或進程相關聯之警示的檔名
Detector.UnitTests.dll
filePath 如果 entityType 是 File,則可使用。
與檔案或進程相關聯之警示的檔案路徑
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
processId 如果 entityType 為 Process,則可使用。 24348
processCommandLine 如果 entityType 為 Process,則可使用。 「您的檔案已準備好 Download_1911150169.exe」
processCreationTime 如果 entityType 為 Process,則可使用。 2020-07-18T03:25:38.5269993Z
parentProcessId 如果 entityType 為 Process,則可使用。 16840
parentProcessCreationTime 如果 entityType 為 Process,則可使用。 2020-07-18T02:12:32.8616797Z
ipAddress 如果 entityType 為 Ip,則可使用。
與網路事件相關聯之警示的IP位址,例如 對惡意網路目的地的通訊
62.216.203.204
URL 如果 entityType 為 URL,則可使用。
與網路事件相關聯之警示的 URL,例如, 與惡意網路目的地的通訊
down.esales360.cn
accountName 如果 entityType 為 User,則可 使用 testUser2
domainName 如果 entityType 為 User,則可 使用 europe.corp.contoso
userSid 如果 entityType 為 User,則可 使用 S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId 如果 entityType 為 User,則可 使用 fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName 如果 entityType 是 User/MailBox/MailMessage,則可使用。 testUser2@contoso.com
mailboxDisplayName 如果 entityType 為 MailBox,則可使用。 測試 User2
mailboxAddress 如果 entityType 是 User/MailBox/MailMessage,則可使用。 testUser2@contoso.com
clusterBy 如果 entityType 為 MailCluster,則可使用。 主題;P2SenderDomain;ContentType
sender 如果 entityType 是 User/MailBox/MailMessage,則可使用。 user.abc@mail.contoso.co.in
recipient 如果 entityType 為 MailMessage,則可使用。 testUser2@contoso.com
主題 如果 entityType 為 MailMessage,則可使用。 [EXTERNAL]注意
deliveryAction 如果 entityType 為 MailMessage,則可使用。 已傳遞
securityGroupId 如果 entityType 為 SecurityGroup,則可使用。 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName 如果 entityType 為 SecurityGroup,則可使用。 網路設定運算子
registryHive 如果 entityType 是 Registry,則可使用。 HKEY_LOCAL_MACHINE
registryKey 如果 entityType 是 Registry,則可使用。 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType 如果 entityType 是 Registry,則可使用。 字串
registryValue 如果 entityType 是 Registry,則可使用。 31-00-00-00
deviceId 與實體相關的裝置識別碼,如果有的話。 986e5df8b73dacd43c8917d17e523e76b13c75cd

範例

要求範例

GET https://api.security.microsoft.com/api/incidents

回應範例

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。