제출 또는 업데이트 표시기 API
적용 대상:
Endpoint용 Defender를 경험하고 싶나요? 무료 평가판을 신청하세요.
참고
미국 정부 고객인 경우 미국 정부 고객용 끝점용 Microsoft Defender에나열된 URIS를 사용하시기 바랍니다.
팁
성능을 향상시키려면 서버를 지리적 위치에 더 가깝게 사용할 수 있습니다.
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
API 설명
새 Indicator 엔터티를 제출하거나 업데이트합니다.
IP에 대한 CIDR은 지원되지 않습니다.
제한 사항
- 이 API에 대한 속도 제한은 분당 100통 및 시간당 1500통입니다.
- 테넌트당 활성 표시기는 15,000개로 제한됩니다.
사용 권한
이 API를 호출하려면 다음 권한 중 하나가 필요합니다. 사용 권한을 선택하는 방법을 포함하여 자세한 내용은 시작을 참조합니다.
| 사용 권한 유형 | 사용 권한 | 사용 권한 표시 이름 |
|---|---|---|
| 응용 프로그램 | Ti.ReadWrite | '읽기 및 쓰기 표시기' |
| 응용 프로그램 | Ti.ReadWrite.All | '모든 지표 읽기 및 쓰기' |
| 위임(직장 또는 학교 계정) | Ti.ReadWrite | '읽기 및 쓰기 표시기' |
HTTP 요청
POST https://api.securitycenter.microsoft.com/api/indicators
요청 헤더
| 이름 | 유형 | 설명 |
|---|---|---|
| 권한 부여 | 문자열 | Bearer {token}. 필수입니다. |
| Content-Type | 문자열 | application/json. 필수입니다. |
요청 본문
요청 본문에 다음 매개 변수를 사용하여 JSON 개체를 제공합니다.
| 매개 변수 | 유형 | 설명 |
|---|---|---|
| indicatorValue | 문자열 | Indicator 엔터티의 ID입니다. 필수 |
| indicatorType | Enum | 표시기 유형입니다. 가능한 값은 "FileSha1", "FileMd5", "CertificateThumbprint", "FileSha256", "IpAddress", "DomainName" 및 "Url"입니다. 필수 |
| 조치 | Enum | 표시기가 조직에서 검색되는 경우 수행되는 작업입니다. 가능한 값은 "Alert", "Warn", "Block", "Audit, "BlockAndRemediate", "AlertAndBlock" 및 "Allowed"입니다. 필수입니다. "Audit"를 사용하여 작업을 만들 때 "GenerateAlert" 매개 변수를 "TRUE"로 설정해야 합니다. |
| application | 문자열 | 표시기와 연결된 응용 프로그램입니다. 이 필드는 새 표시기에서만 작동합니다. 기존 표시기에서 값을 업데이트하지 않습니다. 선택 사항 |
| title | 문자열 | 표시기 경고 제목입니다. 필수 |
| description | 문자열 | 표시기 설명입니다. 필수 |
| expirationTime | DateTimeOffset | 표시기 만료 시간입니다. 선택 사항 |
| 심각도 | Enum | 표시기 심각도입니다. 가능한 값은 "Informational", "Low", "Medium", "High"입니다. 선택 사항 |
| recommendedActions | 문자열 | TI 표시기 경고 권장 작업. 선택 사항 |
| rbacGroupNames | 문자열 | 콤보로 구분된 RBAC 그룹 이름 목록 표시기가 적용됩니다. 선택 사항 |
| generateAlert | Enum | True이면 경고 생성이 필요하고 False이면 경고가 생성되지 않습니다. |
응답
- 성공하면 이 메서드는 응답 본문에 200 - 확인 응답 코드와 생성/업데이트된 Indicator 엔터티를 반환합니다.
- 성공하지 못하면 이 메서드는 400 - 잘못된 요청을 반환합니다. 잘못된 요청은 일반적으로 잘못된 본문을 나타냅니다.
예제
요청
다음은 요청의 예입니다.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}