Indikator-API för Skicka eller uppdatera
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.
Tips
För bättre prestanda kan du använda servern närmare din geografiska plats:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
API-beskrivning
Skickar eller uppdaterar ny indikator entitet.
CIDR-notation för IP-adresser stöds inte.
Begränsningar
- Prisbegränsningar för detta API är 100 samtal per minut och 1 500 samtal per timme.
- Det finns en gräns på 15 000 aktiva indikatorer per klientorganisation.
Behörigheter
En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Komma igång
| Behörighetstyp | Behörighet | Visningsnamn för behörighet |
|---|---|---|
| Program | Ti.ReadWrite | Indikatorer för läsning och skrivning |
| Program | Ti.ReadWrite.All | "Läsa och skriva alla indikatorer" |
| Delegerat (arbets- eller skolkonto) | Ti.ReadWrite | Indikatorer för läsning och skrivning |
HTTP-begäran
POST https://api.securitycenter.microsoft.com/api/indicators
Frågerubriker
| Namn | Typ | Beskrivning |
|---|---|---|
| Auktorisering | Sträng | Bearer {token}. Obligatoriskt. |
| Content-Type | sträng | application/json. Obligatoriskt. |
Frågebrödtext
Ange följande parametrar för ett JSON-objekt i begärans brödtext:
| Parameter | Typ | Beskrivning |
|---|---|---|
| indicatorValue | Sträng | Identiteten för indikatorenheten. Obligatoriskt |
| indicatorType | Uppräkning | Typ av indikator. Möjliga värden är: "FileSha1", "FileMd5", "CertificateThumbprint", "FileSha256", "IpAddress", "DomainName" och "Url". Obligatoriskt |
| åtgärd | Uppräkning | Den åtgärd som kommer att vidtas om indikatorn upptäcks i organisationen. Möjliga värden är: "Avisering", "Varna", "Block", "Granskning, "BlockAndRemediate", "AlertAndBlock" och "Tillåtet". Obligatoriskt. Parametern "GenerateAlert" måste vara inställd på "SANT" när du skapar en åtgärd med "Granskning". |
| program | Sträng | Programmet som är kopplat till indikatorn. Det här fältet fungerar bara för nya indikatorer. Värdet uppdateras inte för en befintlig indikator. Valfritt |
| rubrik | Sträng | Indikatoraviseringens rubrik. Obligatoriskt |
| description | Sträng | Beskrivning av indikatorn. Obligatoriskt |
| expirationTime | DateTimeOffset | Indikatorns utgångstid. Valfritt |
| allvarlighetsgrad | Uppräkning | Indikatorns allvarlighetsgrad. Möjliga värden är: "Informationsblad", "Låg", "Medel" och "Hög". Valfritt |
| recommendedActions | Sträng | Rekommenderade åtgärder för TI-indikatoraviseringar. Valfritt |
| rbacGroupNames | Sträng | Kommaavgränsade listor med namn på RBAC-grupper indikatorn skulle tillämpas på. Valfritt |
| generateAlert | Uppräkning | Sant om aviseringsgenerering krävs, Falskt om den här indikatorn inte ska generera en avisering. |
Svar
- Om det lyckas returnerar den här metoden 200 – OK-svarskod och den skapade/uppdaterade indikatorentiteten i svarets brödtext.
- Om det inte lyckas: den här metoden returnerar 400 – Bad Request. Felaktig begäran anger vanligtvis felaktigt brödtext.
Exempel
Begäran
Här är ett exempel på begäran.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}