Auflisten der Indikatoren-API

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie bitte die URIs, die in Microsoft Defender for Endpoint für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

API-Beschreibung

Ruft eine Auflistung aller aktiven Indikatoren ab.

Unterstützt OData V4-Abfragen.

Die OData-Abfrage $filter wird für die applicationEigenschaften , , createdByDisplayName, expirationTimegenerateAlert, title, rbacGroupNames, rbacGroupIds, indicatorValuecreationTimeDateTimeUtcindicatorType, , createdBy, actionund severity unterstützt.
$stop mit einem maximalen Wert von 10.000.
$skip.

Beispiele finden Sie unter OData-Abfragen mit Microsoft Defender for Endpoint.

Begrenzungen

Die Ratenbeschränkungen für diese API sind 100 Aufrufe pro Minute und 1.500 Aufrufe pro Stunde.

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Erste Schritte.

Berechtigungstyp	Berechtigung	Anzeigename der Berechtigung
App	Ti.ReadWrite	Read and write Indicators
App	Ti.ReadWrite.All	Read and write All Indicators
Delegiert (Geschäfts-, Schul- oder Unikonto)	Ti.ReadWrite	Read and write Indicators

HTTP-Anforderung

GET https://api.securitycenter.microsoft.com/api/indicators

Anforderungsheader

Name	Typ	Beschreibung
Authorization	String	Bearer {token}. Erforderlich.

Anforderungstext

Empty

Antwort

Bei erfolgreicher Ausführung gibt die Methode den Antwortcode "200, Ok" mit einer Auflistung von Indikatorentitäten zurück.

Hinweis

Wenn die Anwendung über die Berechtigung verfügt Ti.ReadWrite.All , wird sie für alle Indikatoren verfügbar gemacht. Andernfalls wird sie nur für die erstellten Indikatoren verfügbar gemacht.

Beispiel 1

Beispiel 1 Anforderung

Hier sehen Sie ein Beispiel für eine Anforderung, die alle Indikatoren abruft.

GET https://api.securitycenter.microsoft.com/api/indicators

Beispiel 1 Antwort

Hier ist ein Beispiel für die Antwort.

HTTP/1.1 200 Ok
Content-type: application/json
{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
    "value": [
        {
            "id": "995",
            "indicatorValue": "12.13.14.15",
            "indicatorType": "IpAddress",
            "action": "Alert",
            "application": "demo-test",
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T11:15:35.3688259Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "test",
            "rbacGroupNames": []
        },
        {
            "id": "996",
            "indicatorValue": "220e7d15b0b3d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "action": "AlertAndBlock",
            "application": null,
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "TEST",
            "rbacGroupNames": [ "Group1", "Group2" ]
        }
        ...
    ]
}

Beispiel 2

Beispiel 2 Anforderung

Hier sehen Sie ein Beispiel für eine Anforderung, die alle Indikatoren mit AlertAndBlock Aktion abruft.

GET https://api.securitycenter.microsoft.com/api/indicators?$filter=action+eq+'AlertAndBlock'

Beispiel 2 Antwort

Hier ist ein Beispiel für die Antwort.

HTTP/1.1 200 Ok
Content-type: application/json
{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
    "value": [
        {
            "id": "997",
            "indicatorValue": "111e7d15b0b3d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "action": "AlertAndBlock",
            "application": null,
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "TEST",
            "rbacGroupNames": [ "Group1", "Group2" ]
        }
        ...
    ]
}

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.