Indikator-API för Skicka eller uppdatera

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Anteckning

Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.

Tips

För bättre prestanda kan du använda servern närmare din geografiska plats:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

API-beskrivning

Skickar eller uppdaterar ny indikator entitet.

CIDR-notation för IP-adresser stöds inte.

Begränsningar

  1. Prisbegränsningar för detta API är 100 samtal per minut och 1 500 samtal per timme.
  2. Det finns en gräns på 15 000 aktiva indikatorer per klientorganisation.

Behörigheter

En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Komma igång

Behörighetstyp Behörighet Visningsnamn för behörighet
Program Ti.ReadWrite Indikatorer för läsning och skrivning
Program Ti.ReadWrite.All "Läsa och skriva alla indikatorer"
Delegerat (arbets- eller skolkonto) Ti.ReadWrite Indikatorer för läsning och skrivning

HTTP-begäran

POST https://api.securitycenter.microsoft.com/api/indicators

Frågerubriker

Namn Typ Beskrivning
Auktorisering Sträng Bearer {token}. Obligatoriskt.
Content-Type sträng application/json. Obligatoriskt.

Frågebrödtext

Ange följande parametrar för ett JSON-objekt i begärans brödtext:

Parameter Typ Beskrivning
indicatorValue Sträng Identiteten för indikatorenheten. Obligatoriskt
indicatorType Uppräkning Typ av indikator. Möjliga värden är: "FileSha1", "FileMd5", "CertificateThumbprint", "FileSha256", "IpAddress", "DomainName" och "Url". Obligatoriskt
åtgärd Uppräkning Den åtgärd som kommer att vidtas om indikatorn upptäcks i organisationen. Möjliga värden är: "Avisering", "Varna", "Block", "Granskning, "BlockAndRemediate", "AlertAndBlock" och "Tillåtet". Obligatoriskt. Parametern "GenerateAlert" måste vara inställd på "SANT" när du skapar en åtgärd med "Granskning".
program Sträng Programmet som är kopplat till indikatorn. Det här fältet fungerar bara för nya indikatorer. Värdet uppdateras inte för en befintlig indikator. Valfritt
rubrik Sträng Indikatoraviseringens rubrik. Obligatoriskt
description Sträng Beskrivning av indikatorn. Obligatoriskt
expirationTime DateTimeOffset Indikatorns utgångstid. Valfritt
allvarlighetsgrad Uppräkning Indikatorns allvarlighetsgrad. Möjliga värden är: "Informationsblad", "Låg", "Medel" och "Hög". Valfritt
recommendedActions Sträng Rekommenderade åtgärder för TI-indikatoraviseringar. Valfritt
rbacGroupNames Sträng Kommaavgränsade listor med namn på RBAC-grupper indikatorn skulle tillämpas på. Valfritt
generateAlert Uppräkning Sant om aviseringsgenerering krävs, Falskt om den här indikatorn inte ska generera en avisering.

Svar

  • Om det lyckas returnerar den här metoden 200 – OK-svarskod och den skapade/uppdaterade indikatorentiteten i svarets brödtext.
  • Om det inte lyckas: den här metoden returnerar 400 – Bad Request. Felaktig begäran anger vanligtvis felaktigt brödtext.

Exempel

Begäran

Här är ett exempel på begäran.

POST https://api.securitycenter.microsoft.com/api/indicators
{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}