Indikatorresurstyp

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Obs!

Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.

Tips

För bättre prestanda kan du använda servern närmare din geoplats:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
Metod Returtyp Beskrivning
Lista indikatorer Indikator Samling Listindikatorentiteter.
Skicka indikator Indikator Skicka eller uppdatera indikatorentiteten .
Importindikatorer Indikator Samling Skicka eller uppdatera entiteter för indikatorer .
Ta bort indikator Inget innehåll Tar bort indikatorentiteten .

Egenskaper

Egenskap Typ Beskrivning
Id Sträng Identitet för indikatorentiteten .
indicatorValue Sträng Värdet för indikatorn.
indicatorType Enum Indikatorns typ. Möjliga värden är: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainNameoch Url.
Program Sträng Programmet som är associerat med indikatorn.
åtgärd Enum Den åtgärd som vidtas om indikatorn identifieras i organisationen. Möjliga värden är: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediateoch Allowed.
externalID Sträng ID som kunden kan skicka i begäran om anpassad korrelation.
sourceType Enum User om indikatorn som skapats av en användare (till exempel från portalen), AadApp om den skickades med hjälp av automatiserat program via API:et.
createdBySource sträng Namnet på användaren/programmet som skickade indikatorn.
createdBy Sträng Unik identitet för den användare/det program som skickade indikatorn.
lastUpdatedBy Sträng Identitet för den användare/det program som senast uppdaterade indikatorn.
creationTimeDateTimeUtc DateTimeOffset Datum och tid då indikatorn skapades.
expirationTime DateTimeOffset Indikatorns förfallotid.
lastUpdateTime DateTimeOffset Senaste gången indikatorn uppdaterades.
Svårighetsgrad Enum Allvarlighetsgraden för indikatorn. Möjliga värden är: Informational, Low, Mediumoch High.
Titel Sträng Indikatorrubrik.
beskrivning Sträng Beskrivning av indikatorn.
recommendedActions Sträng Rekommenderade åtgärder för indikatorn.
rbacGroupNames Lista över strängar RBAC-enhetsgruppnamn där indikatorn är exponerad och aktiv. Tom lista om den skulle exponeras för alla enheter.
rbacGroupIds Lista över strängar RBAC-enhetsgrupp-ID:n där indikatorn är exponerad och aktiv. Tom lista om den skulle exponeras för alla enheter.
generateAlert Enum Sant om aviseringsgenerering krävs, Falskt om den här indikatorn inte ska generera en avisering.

Indikatortyper

Indikatoråtgärdstyperna som stöds av API:et är:

  • Tillåts
  • Granskning
  • Blockera
  • BlockAndRemediate
  • Varna (endast Defender för Cloud Apps)

Mer information om beskrivningen av svarsåtgärdstyperna finns i Skapa indikatorer.

Obs!

De tidigare svarsåtgärderna (AlertAndBlock och Alert) stöds fram till januari 2022. Efter det här datumet måste alla kunder använda någon av de åtgärdstyper som anges i det här avsnittet.

Json-representation

{
    "id": "994",
    "indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
    "indicatorType": "FileSha256",
    "action": "AlertAndBlock",
    "application": null,
    "source": "user@contoso.onmicrosoft.com",
    "sourceType": "User",
    "createdBy": "user@contoso.onmicrosoft.com",
    "severity": "Informational",
    "title": "Michael test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
    "expirationTime": null,
    "lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": ["team1"]
}

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.