Partilhar via

Submeter ou Atualizar API de Indicador

  • Artigo

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Nota

Se for um cliente do Us Government, utilize os URIs listados no Microsoft Defender para Endpoint para clientes do Us Government.

Sugestão

Para um melhor desempenho, pode utilizar o servidor mais próximo da localização geográfica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Descrição da API

Submete ou Atualizações nova entidade Indicador.

A notação CIDR para IPs não é suportada.

Limitações

  1. As limitações de taxa para esta API são 100 chamadas por minuto e 1500 chamadas por hora.
  2. Existe um limite de 15 000 indicadores ativos por inquilino.

Permissões

É necessária uma das seguintes permissões para chamar esta API. Para saber mais, incluindo como escolher permissões, consulte Introdução.

Tipo de permissão Permissão Nome a apresentar da permissão
Aplicação Ti.ReadWrite Read and write Indicators
Aplicação Ti.ReadWrite.All Read and write All Indicators
Delegado (conta escolar ou profissional) Ti.ReadWrite Read and write Indicators

Pedido HTTP

POST https://api.securitycenter.microsoft.com/api/indicators

Cabeçalhos de pedido

Name Tipo Descrição
Autorização Cadeia Portador {token}. Obrigatório.
Tipo de Conteúdo cadeia application/json. Obrigatório.

Corpo do pedido

No corpo do pedido, forneça um objeto JSON com os seguintes parâmetros:

Parâmetro Tipo Descrição
indicatorValue Cadeia Identidade da entidade Indicador . Obrigatório
indicatorType Enumeração Tipo do indicador. Os valores possíveis são: FileSha1, , FileMd5CertificateThumbprint, FileSha256, , IpAddress, DomainNamee Url. Obrigatório
ação Enumeração A ação que é efetuada se o indicador for detetado na organização. Os valores possíveis são: Alert, , WarnBlock, Audit, , BlockAndRemediate, AlertAndBlocke Allowed. Obrigatório. O GenerateAlert parâmetro tem de ser definido como ao TRUE criar uma ação com Audit.
aplicação Cadeia A aplicação associada ao indicador. Este campo só funciona para novos indicadores. Não atualiza o valor num indicador existente. Opcional
título Cadeia Título do alerta de indicador. Obrigatório
descrição Cadeia Descrição do indicador. Obrigatório
expirationTime DateTimeOffset O tempo de expiração do indicador. Opcional
gravidade Enumeração A gravidade do indicador. Os valores possíveis são: Informational, Low, Mediume High. Opcional
recommendedActions Cadeia Ações recomendadas do alerta do indicador TI. Opcional
rbacGroupNames Cadeia Lista separada por vírgulas de nomes de grupos RBAC aos qual o indicador seria aplicado. Opcional
educateUrl Cadeia URL de notificação/suporte personalizado. Suportado para tipos de ação Bloquear e Avisar para indicadores de URL. Opcional
generateAlert Enumeração Verdadeiro se a geração de alertas for necessária, Falso se este indicador não quiser gerar um alerta.

Resposta

  • Se for bem-sucedido, este método devolve o código de resposta 200 - OK e a entidade indicadora criada/atualizada no corpo da resposta.
  • Se não for bem-sucedido: este método devolve 400 – Pedido Incorreto. Normalmente, o pedido incorreto indica um corpo incorreto.

Exemplos:

Pedido

Eis um exemplo do pedido.

POST https://api.securitycenter.microsoft.com/api/indicators

{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

Artigo relacionado

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.