Listar a API de incidentes Microsoft 365 Defender

Observação

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como você pode avaliar e testar Microsoft 365 Defender.

Aplica-se a:

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Descrição da API

A API de incidentes de lista permite classificar por meio de incidentes para criar uma resposta de segurança cibernética informada. Ele expõe uma coleção de incidentes que foram sinalizados em sua rede, dentro do intervalo de tempo especificado na política de retenção do ambiente. Os incidentes mais recentes são exibidos na parte superior da lista. Cada incidente contém uma matriz de alertas relacionados e suas entidades relacionadas.

A API dá suporte aos seguintes operadores OData:

  • $filternas lastUpdateTime propriedades , createdTime , status e assignedTo
  • $top, com um valor máximo de 100
  • $skip

Limitações

  1. O tamanho máximo da página é de 100 incidentes.
  2. A taxa máxima de solicitações é de 50 chamadas por minuto e 1500 chamadas por hora.

Permissões

Uma das seguintes permissões é necessária para chamar essa API. Para saber mais, incluindo como escolher permissões, consulte Access Microsoft 365 Defender APIs

Tipo de permissão Permissão Nome de exibição de permissão
Application Incident.Read.All Ler todos os incidentes
Application Incident.ReadWrite.All Ler e gravar todos os incidentes
Delegado (conta corporativa ou de estudante) Incident.Read Ler incidentes
Delegado (conta corporativa ou de estudante) Incident.ReadWrite Incidentes de leitura e gravação

Observação

Ao obter um token usando credenciais de usuário:

  • O usuário precisa ter permissão de exibição para incidentes no portal.
  • A resposta incluirá apenas incidentes aos que o usuário está exposto.

Solicitação HTTP

GET /api/incidents

Cabeçalhos de solicitação

Nome Tipo Descrição
Autorização Cadeia de caracteres Portador {token}. Required

Corpo da solicitação

Nenhum.

Resposta

Se tiver êxito, este método 200 OK retornará e uma lista de incidentes no corpo da resposta.

Mapeamento de esquema

Metadados de incidente

Nome do campo Descrição Valor de exemplo
incidentId Identificador exclusivo para representar o incidente 924565
redirectIncidentId Somente populado no caso de um incidente estar sendo agrupado com outro incidente, como parte da lógica de processamento de incidentes. 924569
incidentName Valor de cadeia de caracteres disponível para cada incidente. Atividade de ransomware
createdTime Hora em que o incidente foi criado pela primeira vez. 2020-09-06T14:46:57.0733333Z
lastUpdateTime Hora em que o incidente foi atualizado pela última vez no back-end.

Esse campo pode ser usado quando você estiver definindo o parâmetro request para o intervalo de tempo em que os incidentes são recuperados.

2020-09-06T14:46:57.29Z
assignedTo Proprietário do incidente ou nulo se nenhum proprietário for atribuído. secop2@contoso.com
classificação A especificação do incidente. Os valores da propriedade são: Unknown, FalsePositive, TruePositive Desconhecido
determinação Especifica a determinação do incidente. Os valores da propriedade são: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other NotAvailable
detectionSource Especifica a origem da detecção. Aplicativos do Defender para Nuvem
status Categorizar incidentes (como Ativo ou Resolvido). Ele pode ajudá-lo a organizar e gerenciar sua resposta a incidentes. Ativo
severity Indica o possível impacto nos ativos. Quanto maior a gravidade, maior será o impacto. Normalmente, itens de severidade mais altos exigem a atenção mais imediata.

Um dos seguintes valores: Informational, Low, *Medium e High.

Médio
categorias Matriz de marcas personalizadas associadas a um incidente, por exemplo, para sinalizar um grupo de incidentes com uma característica comum. []
comentários Matriz de comentários criados por secops ao gerenciar o incidente, por exemplo, informações adicionais sobre a seleção de classificação. []
alertas Matriz contendo todos os alertas relacionados ao incidente, além de outras informações, como gravidade, entidades envolvidas no alerta e a origem dos alertas. [] (consulte detalhes sobre campos de alerta abaixo)

Metadados de alertas

Nome do campo Descrição Valor de exemplo
alertId Identificador exclusivo para representar o alerta caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC
incidentId Identificador exclusivo para representar o incidente ao que esse alerta está associado 924565
serviceSource Serviço de origem do alerta, como o Microsoft Defender para Ponto de Extremidade, o Microsoft Defender para Aplicativos na Nuvem, o Microsoft Defender para Identidade ou o Microsoft Defender para Office 365. MicrosoftCloudAppSecurity
creationTime Hora em que o alerta foi criado pela primeira vez. 2020-09-06T14:46:55.7182276Z
lastUpdatedTime Hora em que o alerta foi atualizado pela última vez no back-end. 2020-09-06T14:46:57.2433333Z
resolvedTime Hora em que o alerta foi resolvido. 2020-09-10T05:22:59Z
firstActivity Hora em que o alerta relatou pela primeira vez que a atividade foi atualizada no back-end. 2020-09-04T05:22:59Z
title Breve identificação do valor da cadeia de caracteres disponível para cada alerta. Atividade de ransomware
description Valor de cadeia de caracteres que descreve cada alerta. O usuário Test User2 (testUser2@contoso.com) manipulou 99 arquivos com várias extensões terminando com a extensão incomum herunterladen. Esse é um número incomum de manipulações de arquivos e indica um possível ataque de ransomware.
category Exibição visual e numérica da distância em que o ataque progrediu ao longo da cadeia de morte. Alinhado ao MITRE ATT&CK™ framework. Impacto
status Categorizar alertas (como Novo, Ativo ou Resolvido). Ele pode ajudá-lo a organizar e gerenciar sua resposta a alertas. Novo
severity Indica o possível impacto nos ativos. Quanto maior a gravidade, maior será o impacto. Normalmente, itens de severidade mais altos exigem a atenção mais imediata.
Um dos seguintes valores: Informational, Low, Medium e High.
Médio
investigationId A ID de investigação automatizada disparada por esse alerta. 1234
investigationState Informações sobre o status atual da investigação. Um dos seguintes valores: Unknown , Terminated , SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Enued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. UnsupportedAlertType
classificação A especificação do incidente. Os valores da propriedade são: Unknown, FalsePositive, TruePositive ou null Desconhecido
determinação Especifica a determinação do incidente. Os valores da propriedade são: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other ou null Apt
assignedTo Proprietário do incidente ou nulo se nenhum proprietário for atribuído. secop2@contoso.com
actorName O grupo de atividades, se for o caso, o associado a esse alerta. BORON
threatFamilyName Família de ameaças associada a esse alerta. null
mitreTechniques As técnicas de ataque, conforme alinhadas com o MITRE ATT&CK ™ estrutura. []
dispositivos Todos os dispositivos onde os alertas relacionados ao incidente foram enviados. [] (consulte detalhes sobre os campos de entidade abaixo)

Formato de dispositivo

Nome do campo Descrição Valor de exemplo
DeviceId A ID do dispositivo conforme designado no Microsoft Defender para Ponto de Extremidade. 24c222b0b0b60fe148eeece49ac83910cc6a7ef491
aadDeviceId A ID do dispositivo conforme designado em Azure Active Directory. Disponível apenas para dispositivos ingressados no domínio. null
deviceDnsName O nome de domínio totalmente qualificado para o dispositivo. user5cx.middleeast.corp.contoso.com
osPlatform A plataforma do sistema operacional que o dispositivo está executando. WindowsServer2016
osBuild A versão de com build do sistema operacional em execução do dispositivo. 14393
rbacGroupName O grupo de controle de acesso baseado em função (RBAC) associado ao dispositivo. WDATP-Ring0
firstSeen Hora em que o dispositivo foi visto pela primeira vez. 2020-02-06T14:16:01.9330135Z
healthStatus O estado de saúde do dispositivo. Ativo
riskScore A pontuação de risco do dispositivo. Alto
entidades Todas as entidades identificadas para fazer parte ou relacionadas a um determinado alerta. [] (consulte detalhes sobre os campos de entidade abaixo)

Formato de entidade

Nome do campo Descrição Valor de exemplo
entityType Entidades identificadas para fazer parte ou relacionadas a um determinado alerta.
Os valores das propriedades são: User, Ip, Url, File , Process, MailBox, MailMessage, MailCluster, Registry
Usuário
sha1 Disponível se entityType for File.
O hash de arquivo para alertas associados a um arquivo ou processo.
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd
sha256 Disponível se entityType for File.
O hash de arquivo para alertas associados a um arquivo ou processo.
28cb017dfc99073a1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043
fileName Disponível se entityType for File.
O nome do arquivo para alertas associados a um arquivo ou processo
Detector.UnitTests.dll
filePath Disponível se entityType for File.
O caminho do arquivo para alertas associados a um arquivo ou processo
C: \ \agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out
processId Disponível se entityType for Process. 24348
processCommandLine Disponível se entityType for Process. "Seu arquivo está pronto para baixar _1911150169.exe"
processCreationTime Disponível se entityType for Process. 2020-07-18T03:25:38.5269993Z
parentProcessId Disponível se entityType for Process. 16840
parentProcessCreationTime Disponível se entityType for Process. 2020-07-18T02:12:32.8616797Z
ipAddress Disponível se entityType for Ip.
Endereço IP para alertas associados a eventos de rede, como Comunicação a um destino de rede mal-intencionado.
62.216.203.204
url Disponível se entityType for Url.
URL para alertas associados a eventos de rede, como Comunicação a um destino de rede mal-intencionado.
down.esales360.cn
accountName Disponível se entityType for User. testUser2
domainName Disponível se entityType for User. europe.corp.contoso
userSid Disponível se entityType for User. S-1-5-21-1721254763-462695806-1538882281-4156657
aadUserId Disponível se entityType for User. fc8f7484-f813-4db2-afab-bc1507913fb6
userPrincipalName Disponível se entityType for User / MailBox / MailMessage. testUser2@contoso.com
mailboxDisplayName Disponível se entityType for MailBox. test User2
mailboxAddress Disponível se entityType for User / MailBox / MailMessage. testUser2@contoso.com
clusterBy Disponível se entityType for MailCluster. Assunto; P2SenderDomain; ContentType
sender Disponível se entityType for User / MailBox / MailMessage. user.abc@mail.contoso.co.in
destinatário Disponível se entityType for MailMessage. testUser2@contoso.com
assunto Disponível se entityType for MailMessage. [Atenção ] EXTERNA
deliveryAction Disponível se entityType for MailMessage. Entregue
securityGroupId Disponível se entityType for SecurityGroup. 301c47c8-e15f-4059-ab09-e2ba9ffd372b
securityGroupName Disponível se entityType for SecurityGroup. Operadores de Configuração de Rede
registryHive Disponível se entityType for Registry. MÁQUINA LOCAL HKEY _ _
registryKey Disponível se entityType for Registry. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
registryValueType Disponível se entityType for Registry. Cadeia de caracteres
registryValue Disponível se entityType for Registry. 31-00-00-00
deviceId A ID, se for o caso, do dispositivo relacionado à entidade. 986e5df8b73dacd43c8917d17e523e76b13c75cd

Exemplo

Exemplo de solicitação

GET https://api.security.microsoft.com/api/incidents

Exemplo de resposta

{
    "@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
    "value": [
            {
            "incidentId": 924565,
            "redirectIncidentId": null,
            "incidentName": "Ransomware activity",
            "createdTime": "2020-09-06T14:46:57.0733333Z",
            "lastUpdateTime": "2020-09-06T14:46:57.29Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Medium",
            "tags": [],
            "comments": [
                {
                    "comment": "test comment for docs",
                    "createdBy": "secop123@contoso.com",
                    "createdTime": "2021-01-26T01:00:37.8404534Z"
                }
            ],
            "alerts": [
                {
                    "alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
                    "incidentId": 924565,
                    "serviceSource": "MicrosoftCloudAppSecurity",
                    "creationTime": "2020-09-06T14:46:55.7182276Z",
                    "lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-04T05:22:59Z",
                    "lastActivity": "2020-09-04T05:22:59Z",
                    "title": "Ransomware activity",
                    "description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
                    "category": "Impact",
                    "status": "New",
                    "severity": "Medium",
                    "investigationId": null,
                    "investigationState": "UnsupportedAlertType",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "MCAS",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "User",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": "testUser2",
                            "domainName": "europe.corp.contoso",
                            "userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
                            "aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
                            "userPrincipalName": "testUser2@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "62.216.203.204",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924521,
            "redirectIncidentId": null,
            "incidentName": "'Mimikatz' hacktool was detected on one endpoint",
            "createdTime": "2020-09-06T12:18:03.6266667Z",
            "lastUpdateTime": "2020-09-06T12:18:03.81Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Low",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "da637349914833441527_393341063",
                    "incidentId": 924521,
                    "serviceSource": "MicrosoftDefenderATP",
                    "creationTime": "2020-09-06T12:18:03.3285366Z",
                    "lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:15:07.7272048Z",
                    "lastActivity": "2020-09-06T12:15:07.7272048Z",
                    "title": "'Mimikatz' hacktool was detected",
                    "description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Windows Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
                    "category": "Malware",
                    "status": "New",
                    "severity": "Low",
                    "investigationId": null,
                    "investigationState": "UnsupportedOs",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "WindowsDefenderAv",
                    "assignedTo": null,
                    "actorName": null,
                    "threatFamilyName": "Mimikatz",
                    "mitreTechniques": [],
                    "devices": [
                        {
                            "mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
                            "aadDeviceId": null,
                            "deviceDnsName": "user5cx.middleeast.corp.contoso.com",
                            "osPlatform": "WindowsServer2016",
                            "version": "1607",
                            "osProcessor": "x64",
                            "osBuild": 14393,
                            "healthStatus": "Active",
                            "riskScore": "High",
                            "rbacGroupName": "WDATP-Ring0",
                            "rbacGroupId": 9,
                            "firstSeen": "2020-02-06T14:16:01.9330135Z"
                        }
                    ],
                    "entities": [
                        {
                            "entityType": "File",
                            "sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
                            "sha256": null,
                            "fileName": "Detector.UnitTests.dll",
                            "filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
                        }
                    ]
                }
            ]
        },
        {
            "incidentId": 924518,
            "redirectIncidentId": null,
            "incidentName": "Email reported by user as malware or phish",
            "createdTime": "2020-09-06T12:07:55.1366667Z",
            "lastUpdateTime": "2020-09-06T12:07:55.32Z",
            "assignedTo": null,
            "classification": "Unknown",
            "determination": "NotAvailable",
            "status": "Active",
            "severity": "Informational",
            "tags": [],
            "comments": [],
            "alerts": [
                {
                    "alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
                    "incidentId": 924518,
                    "serviceSource": "OfficeATP",
                    "creationTime": "2020-09-06T12:07:54.3716642Z",
                    "lastUpdatedTime": "2020-09-06T12:37:40.88Z",
                    "resolvedTime": null,
                    "firstActivity": "2020-09-06T12:04:00Z",
                    "lastActivity": "2020-09-06T12:04:00Z",
                    "title": "Email reported by user as malware or phish",
                    "description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
                    "category": "InitialAccess",
                    "status": "InProgress",
                    "severity": "Informational",
                    "investigationId": null,
                    "investigationState": "Queued",
                    "classification": null,
                    "determination": null,
                    "detectionSource": "OfficeATP",
                    "assignedTo": "Automation",
                    "actorName": null,
                    "threatFamilyName": null,
                    "mitreTechniques": [],
                    "devices": [],
                    "entities": [
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser3@contoso.com",
                            "mailboxDisplayName": "test User3",
                            "mailboxAddress": "testUser3@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailBox",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "testUser4@contoso.com",
                            "mailboxDisplayName": "test User4",
                            "mailboxAddress": "test.User4@contoso.com",
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailMessage",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": "test.User4@contoso.com",
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": "user.abc@mail.contoso.co.in",
                            "recipient": "test.User4@contoso.com",
                            "subject": "[EXTERNAL] Attention",
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "Subject;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "MailCluster",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": null,
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        },
                        {
                            "entityType": "Ip",
                            "sha1": null,
                            "sha256": null,
                            "fileName": null,
                            "filePath": null,
                            "processId": null,
                            "processCommandLine": null,
                            "processCreationTime": null,
                            "parentProcessId": null,
                            "parentProcessCreationTime": null,
                            "ipAddress": "49.50.81.121",
                            "url": null,
                            "accountName": null,
                            "domainName": null,
                            "userSid": null,
                            "aadUserId": null,
                            "userPrincipalName": null,
                            "mailboxDisplayName": null,
                            "mailboxAddress": null,
                            "clusterBy": null,
                            "sender": null,
                            "recipient": null,
                            "subject": null,
                            "deliveryAction": null,
                            "securityGroupId": null,
                            "securityGroupName": null,
                            "registryHive": null,
                            "registryKey": null,
                            "registryValueType": null,
                            "registryValue": null,
                            "deviceId": null
                        }
                    ]
                }
            ]
        },
        ...
    ]
}