Type de ressource Indicateur

S’applique à :

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Notes

Si vous êtes un client du gouvernement des États-Unis, utilisez les UR répertoriés dans Microsoft Defender pour endpoint pour les clients du gouvernement des États-Unis.

Conseil

Pour de meilleures performances, vous pouvez utiliser un serveur plus proche de votre emplacement géographique :

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com
Méthode Type renvoyé Description
Répertorier des indicateurs Indicateur Collection Entités d’indicateur de liste.
Envoyer des indicateurs Indicateur Entité d’indicateur d’soumission ou de mise à jour.
Importer des indicateurs Indicateur Collection Envoyer ou mettre à jour des entités d’indicateurs.
Supprimer des indicateurs Aucun contenu Supprime l’entité Indicateur.

Propriétés

Propriété Type Description
id String Identité de l’entité Indicateur.
indicatorValue String Valeur de l’indicateur.
indicatorType Énum Type de l’indicateur. Les valeurs possibles sont les suivantes : « FileSha1 », « FileSha256 », « FileMd5 », « CertificateThumbprint », « IpAddress », « DomainName » et « Url ».
application Chaîne Application associée à l’indicateur.
action Énum Action qui sera entreprise si l’indicateur est détecté dans l’organisation. Les valeurs possibles sont : « Warn », « Block », « Audit », « Alert », « AlertAndBlock », « BlockAndRemediate » et « Allowed ».
externalID Chaîne ID que le client peut envoyer dans la demande de corrélation personnalisée.
sourceType Énum « Utilisateur » au cas où l’indicateur créé par un utilisateur (par exemple, à partir du portail), « AadApp » au cas où il a été envoyé à l’aide d’une application automatisée via l’API.
createdBySource string Nom de l’utilisateur/de l’application qui a soumis l’indicateur.
createdBy String Identité unique de l’utilisateur/de l’application qui a soumis l’indicateur.
lastUpdatedBy Chaîne Identité de l’utilisateur/de l’application qui a mis à jour l’indicateur pour la dernière fois.
creationTimeDateTimeUtc DateTimeOffset Date et heure de création de l’indicateur.
expirationTime DateTimeOffset Heure d’expiration de l’indicateur.
lastUpdateTime DateTimeOffset Dernière mise à jour de l’indicateur.
Sévérité Énum Gravité de l’indicateur. les valeurs possibles sont : « Informational », « Low », « Medium » et « High ».
title String Titre de l’indicateur.
description Chaîne Description de l’indicateur.
recommendedActions Chaîne Actions recommandées pour l’indicateur.
rbacGroupNames Liste des chaînes Noms de groupes d’appareils RBAC où l’indicateur est exposé et actif. Liste vide au cas où elle serait exposée à tous les appareils.
rbacGroupIds Liste des chaînes ID de groupe d’appareils RBAC où l’indicateur est exposé et actif. Liste vide au cas où elle serait exposée à tous les appareils.
generateAlert Énum True si la génération d’alerte est requise, False si cet indicateur ne doit pas générer d’alerte.

Types d’indicateurs

Les types d’action d’indicateur pris en charge par l’API sont :

  • Autorisé
  • Audit
  • Bloquer
  • BlockAndRemediate
  • Avertir (Defender pour les applications cloud uniquement)

Pour plus d’informations sur la description des types d’action de réponse, voir Créer des indicateurs.

Notes

Les actions de réponse précédentes (AlertAndBlock et Alert) seront prises en charge jusqu’en janvier 2022. Après cette date, tous les clients doivent utiliser l’un des types d’actions répertoriés ci-dessus.

Représentation Json

{
    "id": "994",
    "indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
    "indicatorType": "FileSha256",
    "action": "AlertAndBlock",
    "application": null,
    "source": "user@contoso.onmicrosoft.com",
    "sourceType": "User",
    "createdBy": "user@contoso.onmicrosoft.com",
    "severity": "Informational",
    "title": "Michael test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
    "expirationTime": null,
    "lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": ["team1"]
}