API för import av indikatorer

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Anteckning

Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.

Tips

För bättre prestanda kan du använda servern närmare din geografiska plats:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

API-beskrivning

Batchen Skicka eller Uppdateringar med indikatorenheter.

CIDR-notation för IP-adresser stöds inte.

Begränsningar

  1. Prisbegränsningar för detta API är 30 samtal per minut.
  2. Det finns en gräns på 15 000 aktiva indikatorer per klientorganisation.
  3. Den maximala batchstorleken för ett API-anrop är 500.

Behörigheter

En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Komma igång

Behörighetstyp Behörighet Visningsnamn för behörighet
Program Ti.ReadWrite Indikatorer för läsning och skrivning
Program Ti.ReadWrite.All "Läsa och skriva alla indikatorer"
Delegerat (arbets- eller skolkonto) Ti.ReadWrite Indikatorer för läsning och skrivning

HTTP-begäran

POST https://api.securitycenter.microsoft.com/api/indicators/import

Frågerubriker

Namn Typ Beskrivning
Auktorisering Sträng Bearer {token}. Obligatoriskt.
Content-Type sträng application/json. Obligatoriskt.

Frågebrödtext

Ange följande parametrar för ett JSON-objekt i begärans brödtext:

Parameter Typ Beskrivning
Indikatorer Indikator<lista> Lista över indikatorer. Obligatoriskt

Svar

  • Om det lyckas returnerar den här metoden 200 – OK-svarskod med en lista med importresultat per indikator, se exemplet nedan.
  • Om det inte lyckas: den här metoden returnerar 400 – Bad Request. Felaktig begäran anger vanligtvis felaktigt brödtext.

Exempel

Exempel på förfrågan

Här är ett exempel på begäran.

POST https://api.securitycenter.microsoft.com/api/indicators/import
{
    "Indicators":
    [
        {
            "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "title": "demo",
            "application": "demo-test",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Informational",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": ["group1", "group2"]
        },
        {
            "indicatorValue": "2233223322332233223322332233223322332233223322332233223322332222",
            "indicatorType": "FileSha256",
            "title": "demo2",
            "application": "demo-test2",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Medium",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": []
        }
    ]
}

Svarsexempel

Här är ett exempel på svaret.

{
    "value": [
        {
            "id": "2841",
            "indicator": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "isFailed": false,
            "failureReason": null
        },
        {
            "id": "2842",
            "indicator": "2233223322332233223322332233223322332233223322332233223322332222",
            "isFailed": false,
            "failureReason": null
        }
    ]
}