Partager via


API Répertorier les incidents dans Microsoft Defender XDR

S’applique à :

Remarque

Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Description de l’API

L’API liste des incidents vous permet de trier les incidents pour créer une réponse de cybersécurité informée. Elle expose une collection d’incidents marqués dans votre réseau, dans l’intervalle de temps que vous avez spécifié dans votre stratégie de rétention d’environnement. Les incidents les plus récents sont affichés en haut de la liste. Chaque incident contient un tableau d’alertes associées et leurs entités associées.

L’API prend en charge les opérateurs OData suivants :

  • $filtersur les lastUpdateTimepropriétés , createdTime, statuset assignedTo
  • $top, avec une valeur maximale de 100
  • $skip

Limitations

  1. La taille maximale de la page est de 100 incidents.
  2. Le taux maximal de demandes est de 50 appels par minute et de 1 500 appels par heure.

Autorisations

L’une des autorisations suivantes est nécessaire pour appeler cette API. Pour plus d’informations, notamment sur le choix des autorisations, consultez Access Microsoft Defender XDR API

Type d’autorisation Autorisation Nom complet de l’autorisation
Application Incident.Read.All Lire tous les incidents
Application Incident.ReadWrite.All Lire et écrire tous les incidents
Déléguée (compte professionnel ou scolaire) Incident.Read Lire les incidents
Déléguée (compte professionnel ou scolaire) Incident.ReadWrite Lire et écrire des incidents

Remarque

Lors de l’obtention d’un jeton à l’aide des informations d’identification de l’utilisateur :

  • L’utilisateur doit disposer d’une autorisation d’affichage pour les incidents dans le portail.
  • La réponse inclut uniquement les incidents auxquels l’utilisateur est exposé.

Requête HTTP

GET /api/incidents

En-têtes de demande

Nom Type Description
Autorisation Chaîne Porteur {token}. Obligatoire

Corps de la demande

Aucun.

Réponse

Si elle réussit, cette méthode retourne 200 OKet une liste d’incidents dans le corps de la réponse.

Mappage de schéma

Métadonnées d’incident

Nom du champ Description Exemple de valeur
incidentId Identificateur unique pour représenter l’incident 924565
redirectIncidentId Renseigné uniquement dans le cas où un incident est regroupé avec un autre incident, dans le cadre de la logique de traitement de l’incident. 924569
incidentName Valeur de chaîne disponible pour chaque incident. Activité de rançongiciel
createdTime Heure à laquelle l’incident a été créé pour la première fois. 2020-09-06T14 :46 :57.073333Z
lastUpdateTime Heure de la dernière mise à jour de l’incident sur le serveur principal.

Ce champ peut être utilisé lorsque vous définissez le paramètre de requête pour la plage de temps pendant laquelle les incidents sont récupérés.

2020-09-06T14 :46 :57.29Z
assignedTo Propriétaire de l’incident, ou null si aucun propriétaire n’est affecté. secop2@contoso.com
classification Spécification de l’incident. Les valeurs de propriété sont : Unknown, FalsePositive, TruePositive Inconnu
Détermination Spécifie la détermination de l’incident. Les valeurs de propriété sont : NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other NotAvailable
detectionSource Spécifie la source de détection. Defender for Cloud Apps
status Catégorisez les incidents ( actifs ou résolus). Il peut vous aider à organiser et à gérer votre réponse aux incidents. Actif
Sévérité Indique l’impact possible sur les ressources. Plus la gravité est élevée, plus l’impact est important. En règle générale, les éléments de gravité plus élevés nécessitent l’attention la plus immédiate.

Une des valeurs suivantes : Informational, Low, *Medium et High.

Moyen
étiquettes Tableau de balises personnalisées associées à un incident, par exemple pour marquer un groupe d’incidents avec une caractéristique commune. []
commentaires Tableau de commentaires créés par les secops lors de la gestion de l’incident, par exemple des informations supplémentaires sur la sélection de la classification. []
alertes Tableau contenant toutes les alertes liées à l’incident, ainsi que d’autres informations, telles que la gravité, les entités impliquées dans l’alerte et la source des alertes. [] (voir les détails sur les champs d’alerte ci-dessous)

Métadonnées des alertes

Nom du champ Description Exemple de valeur
alertId Identificateur unique pour représenter l’alerte caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId Identificateur unique pour représenter l’incident à laquelle cette alerte est associée 924565
serviceSource Service d’où provient l’alerte, par exemple Microsoft Defender pour point de terminaison, Microsoft Defender for Cloud Apps, Microsoft Defender pour Identity ou Microsoft Defender pour Office 365. MicrosoftCloudAppSecurity
creationTime Heure à laquelle l’alerte a été créée pour la première fois. 2020-09-06T14 :46 :55.7182276Z
lastUpdatedTime Heure de la dernière mise à jour de l’alerte au niveau du back-end. 2020-09-06T14 :46 :57.243333Z
resolvedTime Heure à laquelle l’alerte a été résolue. 2020-09-10T05 :22 :59Z
firstActivity Heure à laquelle l’alerte a signalé pour la première fois que l’activité a été mise à jour au niveau du back-end. 2020-09-04T05 :22 :59Z
title Brève valeur de chaîne d’identification disponible pour chaque alerte. Activité de rançongiciel
description Valeur de chaîne décrivant chaque alerte. L’utilisateur de test 2 (testUser2@contoso.com) a manipulé 99 fichiers avec plusieurs extensions se terminant par l’extension rare herunterladen. Il s’agit d’un nombre inhabituel de manipulations de fichiers et indique une attaque potentielle par ransomware.
category Vue visuelle et numérique de la progression de l’attaque le long de la chaîne de destruction. Aligné sur l’infrastructure MITRE ATT&CK™. Impact
status Catégorisez les alertes ( nouvelles, actives ou résolues). Il peut vous aider à organiser et à gérer votre réponse aux alertes. Nouveau
Sévérité Indique l’impact possible sur les ressources. Plus la gravité est élevée, plus l’impact est important. En règle générale, les éléments de gravité plus élevés nécessitent l’attention la plus immédiate.
L’une des valeurs suivantes : Informational, Low, Medium et High.
Moyen
investigationId ID d’examen automatisé déclenché par cette alerte. 1234
investigationState Informations sur la status actuelle de l’enquête. Une des valeurs suivantes : Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartialRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. UnsupportedAlertType
classification Spécification de l’incident. Les valeurs de propriété sont : Unknown, FalsePositive, TruePositive ou Null Inconnu
Détermination Spécifie la détermination de l’incident. Les valeurs de propriété sont : NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other ou null Apt
assignedTo Propriétaire de l’incident, ou null si aucun propriétaire n’est affecté. secop2@contoso.com
actorName Le groupe d’activités, le cas échéant, associé à cette alerte. BORE
threatFamilyName Famille de menaces associée à cette alerte. null
mitreTechniques Les techniques d’attaque, alignées avec l’infrastructure MITRE ATT&CK™. []
appareils Tous les appareils où des alertes liées à l’incident ont été envoyées. [] (voir les détails sur les champs d’entité ci-dessous)

Format de l’appareil

Nom du champ Description Exemple de valeur
DeviceId ID d’appareil tel qu’il est désigné dans Microsoft Defender pour point de terminaison. 24c222b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceId ID de l’appareil tel qu’il est désigné dans Microsoft Entra ID. Disponible uniquement pour les appareils joints à un domaine. null
deviceDnsName Nom de domaine complet de l’appareil. user5cx.middleeast.corp.contoso.com
osPlatform Plateforme du système d’exploitation exécutée par l’appareil. WindowsServer2016
osBuild Version de build du système d’exploitation exécuté par l’appareil. 14393
rbacGroupName Groupe de contrôle d’accès en fonction du rôle (RBAC) associé à l’appareil. WDATP-Ring0
firstSeen Heure à laquelle l’appareil a été vu pour la première fois. 2020-02-06T14 :16 :01.9330135Z
healthStatus État d’intégrité de l’appareil. Actif
riskScore Score de risque pour l’appareil. Élevé
Entités Toutes les entités qui ont été identifiées pour faire partie d’une alerte donnée ou pour y être associées. [] (voir les détails sur les champs d’entité ci-dessous)

Format d’entité

Nom du champ Description Exemple de valeur
Entitytype Entités qui ont été identifiées pour faire partie d’une alerte donnée ou pour y être associées.
Les valeurs des propriétés sont : User, Ip, Url, File, Process, MailBox, MailMessage, MailCluster, Registry
Utilisateur
sha1 Disponible si entityType a la valeur File.
Hachage de fichier pour les alertes associées à un fichier ou à un processus.
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 Disponible si entityType a la valeur File.
Hachage de fichier pour les alertes associées à un fichier ou à un processus.
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
fileName Disponible si entityType a la valeur File.
Nom de fichier des alertes associées à un fichier ou à un processus
Detector.UnitTests.dll
Filepath Disponible si entityType a la valeur File.
Chemin d’accès aux alertes associées à un fichier ou à un processus
C :\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
Processid Disponible si entityType a la valeur Process. 24348
processCommandLine Disponible si entityType a la valeur Process. « Votre fichier est prêt à Download_1911150169.exe »
processCreationTime Disponible si entityType a la valeur Process. 2020-07-18T03 :25 :38.5269993Z
parentProcessId Disponible si entityType a la valeur Process. 16840
parentProcessCreationTime Disponible si entityType a la valeur Process. 2020-07-18T02 :12 :32.8616797Z
ipAddress Disponible si entityType a la valeur Ip.
Adresse IP pour les alertes associées à des événements réseau, tels que la communication avec une destination réseau malveillante.
62.216.203.204
url Disponible si entityType est URL.
URL des alertes associées aux événements réseau, tels que La communication vers une destination réseau malveillante.
down.esales360.cn
accountName Disponible si entityType a la valeur User. testUser2
domainName Disponible si entityType a la valeur User. europe.corp.contoso
userSid Disponible si entityType a la valeur User. S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId Disponible si entityType a la valeur User. fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName Disponible si entityType est User/MailBox/MailMessage. testUser2@contoso.com
mailboxDisplayName Disponible si entityType a la valeur MailBox. utilisateur de test2
mailboxAddress Disponible si entityType est User/MailBox/MailMessage. testUser2@contoso.com
clusterBy Disponible si entityType est MailCluster. Objet; P2SenderDomain ; Contenttype
sender Disponible si entityType est User/MailBox/MailMessage. user.abc@mail.contoso.co.in
destinataire Disponible si entityType a la valeur MailMessage. testUser2@contoso.com
subject Disponible si entityType a la valeur MailMessage. [EXTERNAL] Attention
deliveryAction Disponible si entityType a la valeur MailMessage. Remis
securityGroupId Disponible si entityType a la valeur SecurityGroup. 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName Disponible si entityType a la valeur SecurityGroup. Opérateurs de configuration réseau
registryHive Disponible si entityType a la valeur Registry. HKEY_LOCAL_MACHINE
registryKey Disponible si entityType a la valeur Registry. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType Disponible si entityType a la valeur Registry. Chaîne
registryValue Disponible si entityType a la valeur Registry. 31-00-00-00
deviceId ID, le cas échéant, de l’appareil lié à l’entité. 986e5df8b73dacd43c8917d17e523e76b13c75cd

Exemple

Exemple de requête

GET https://api.security.microsoft.com/api/incidents

Exemple de réponse

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.