API för import av indikatorer
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.
Tips
För bättre prestanda kan du använda servern närmare din geografiska plats:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
API-beskrivning
Batchen Skicka eller Uppdateringar med indikatorenheter.
CIDR-notation för IP-adresser stöds inte.
Begränsningar
- Prisbegränsningar för detta API är 30 samtal per minut.
- Det finns en gräns på 15 000 aktiva indikatorer per klientorganisation.
- Den maximala batchstorleken för ett API-anrop är 500.
Behörigheter
En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Komma igång
| Behörighetstyp | Behörighet | Visningsnamn för behörighet |
|---|---|---|
| Program | Ti.ReadWrite | Indikatorer för läsning och skrivning |
| Program | Ti.ReadWrite.All | "Läsa och skriva alla indikatorer" |
| Delegerat (arbets- eller skolkonto) | Ti.ReadWrite | Indikatorer för läsning och skrivning |
HTTP-begäran
POST https://api.securitycenter.microsoft.com/api/indicators/import
Frågerubriker
| Namn | Typ | Beskrivning |
|---|---|---|
| Auktorisering | Sträng | Bearer {token}. Obligatoriskt. |
| Content-Type | sträng | application/json. Obligatoriskt. |
Frågebrödtext
Ange följande parametrar för ett JSON-objekt i begärans brödtext:
| Parameter | Typ | Beskrivning |
|---|---|---|
| Indikatorer | Indikator<lista> | Lista över indikatorer. Obligatoriskt |
Svar
- Om det lyckas returnerar den här metoden 200 – OK-svarskod med en lista med importresultat per indikator, se exemplet nedan.
- Om det inte lyckas: den här metoden returnerar 400 – Bad Request. Felaktig begäran anger vanligtvis felaktigt brödtext.
Exempel
Exempel på förfrågan
Här är ett exempel på begäran.
POST https://api.securitycenter.microsoft.com/api/indicators/import
{
"Indicators":
[
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "demo",
"application": "demo-test",
"expirationTime": "2021-12-12T00:00:00Z",
"action": "Alert",
"severity": "Informational",
"description": "demo2",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
},
{
"indicatorValue": "2233223322332233223322332233223322332233223322332233223322332222",
"indicatorType": "FileSha256",
"title": "demo2",
"application": "demo-test2",
"expirationTime": "2021-12-12T00:00:00Z",
"action": "Alert",
"severity": "Medium",
"description": "demo2",
"recommendedActions": "nothing",
"rbacGroupNames": []
}
]
}
Svarsexempel
Här är ett exempel på svaret.
{
"value": [
{
"id": "2841",
"indicator": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"isFailed": false,
"failureReason": null
},
{
"id": "2842",
"indicator": "2233223322332233223322332233223322332233223322332233223322332222",
"isFailed": false,
"failureReason": null
}
]
}