Erstellen eines Indikators für die Threat IntelligenceCreate threat intelligence indicator

Wichtig

APIs unter der /beta Version in Microsoft Graph können Änderungen unterworfen werden.APIs under the /beta version in Microsoft Graph are subject to change. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt.Use of these APIs in production applications is not supported.

Erstellen eines neuen tiIndicator -Objekts.Create a new tiIndicator object.

BerechtigungenPermissions

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie im Artikel zum Thema Berechtigungen.One of the following permissions is required to call this API. To learn more, including how to choose permissions, see Permissions.

BerechtigungstypPermission type Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)Permissions (from least to most privileged)
Delegiert (Geschäfts-, Schul- oder Unikonto)Delegated (work or school account) ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy
Delegiert (persönliches Microsoft-Konto)Delegated (personal Microsoft account) Nicht unterstütztNot supported.
AnwendungApplication ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy

HTTP-AnforderungHTTP request

POST /security/tiIndicators

AnforderungsheaderRequest headers

NameName BeschreibungDescription
AuthorizationAuthorization Bearer {code}Bearer {code}

AnforderungstextRequest body

Geben Sie im Anforderungstext eine JSON-Darstellung eines tiIndicator -Objekts an, das mindestens eine zu beobachtbare e-Mail, Dateioder ein Netzwerk enthält.In the request body, supply a JSON representation of a tiIndicator object containing at least one email, file, or network observable.

AntwortResponse

Wenn die Methode erfolgreich verläuft 201 Created , werden der Antwortcode und ein tiIndicator -Objekt im Antworttext zurückgegeben.If successful, this method returns 201 Created response code and a tiIndicator object in the response body.

BeispieleExamples

AnforderungRequest

Nachfolgend sehen Sie ein Beispiel der Anforderung.The following is an example of the request.

POST https://graph.microsoft.com/beta/security/tiIndicators
Content-type: application/json

{
  "action": "alert",
  "activityGroupNames": [],
  "confidence": 0,
  "description": "This is a canary indicator for demo purpose. Take no action on any observables set in this indicator.",
  "expirationDateTime": "2019-03-01T21:43:37.5031462+00:00",
  "externalId": "Test--8586509942679764298MS501",
  "fileHashType": "sha256",
  "fileHashValue": "aa64428647b57bf51524d1756b2ed746e5a3f31b67cf7fe5b5d8a9daf07ca313",
  "killChain": [],
  "malwareFamilyNames": [],
  "severity": 0,
  "tags": [],
  "targetProduct": "Azure Sentinel",
  "threatType": "WatchList",
  "tlpLevel": "green"
}

AntwortResponse

Nachfolgend sehen Sie ein Beispiel der Antwort.The following is an example of the response.

Hinweis

Das hier gezeigte Antwortobjekt kann zur Lesbarkeit gekürzt werden.The response object shown here might be shortened for readability. Ein tatsächlicher Aufruf gibt alle Eigenschaften zurück.All the properties will be returned from an actual call.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
    "id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
    "azureTenantId": "XXXXXXXXXXXXXXXXXXXX",
    "action": "alert",
    "additionalInformation": null,
    "activityGroupNames": [],
    "confidence": 0,
    "description": "This is a canary indicator for demo purpose. Take no action on any observables set in this indicator.",
}