Indikatorresurstyp
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.
Tips
För bättre prestanda kan du använda servern närmare din geografiska plats:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
- Se motsvarande indikatorsida i portalen.
| Metod | Returtyp | Beskrivning |
|---|---|---|
| Lista indikatorer | Indikator Samling | Enheter i listindikator. |
| Skicka indikator | Indikator | Skicka eller uppdatera indikator entitet. |
| Importindikatorer | Indikator Samling | Skicka eller uppdatera indikatorer. |
| Ta bort indikator | Inget innehåll | Tar bort indikator entitet. |
Egenskaper
| Egenskap | Typ | Beskrivning |
|---|---|---|
| id | Sträng | Identiteten för indikatorenheten. |
| indicatorValue | Sträng | Värdet på indikatorn. |
| indicatorType | Uppräkning | Typ av indikator. Möjliga värden är: "FileSha1", "FileSha256", "FileMd5", "CertificateThumbprint", "IpAddress", "DomainName" och "Url". |
| program | Sträng | Programmet som är kopplat till indikatorn. |
| åtgärd | Uppräkning | Den åtgärd som kommer att vidtas om indikatorn upptäcks i organisationen. Möjliga värden är: "Varna", "Block", "Granskning", "Avisering", "AlertAndBlock", "BlockAndRemediate" och "Allowed". |
| externalID | Sträng | Id som kunden kan skicka i begäran om anpassad korrelation. |
| sourceType | Uppräkning | "Användare" om indikatorn skapades av en användare (till exempel från portalen), "AadApp" om den skickades med automatiserad ansökan via API:t. |
| createdBySource | sträng | Namnet på den användare/det program som skickade indikatorn. |
| createdBy | Sträng | Unik identitet för användaren/programmet som skickade indikatorn. |
| lastUpdatedBy | Sträng | Identiteten för den användare/det program som senast uppdaterade indikatorn. |
| creationTimeDateTimeUtc | DateTimeOffset | Datum och tid då indikatorn skapades. |
| expirationTime | DateTimeOffset | Indikatorns utgångstid. |
| lastUpdateTime | DateTimeOffset | Den senaste gången indikatorn uppdaterades. |
| allvarlighetsgrad | Uppräkning | Indikatorns allvarlighetsgrad. Möjliga värden är: "Informationsblad", "Låg", "Medel" och "Hög". |
| rubrik | Sträng | Indikatorrubrik. |
| description | Sträng | Beskrivning av indikatorn. |
| recommendedActions | Sträng | Rekommenderade åtgärder för indikatorn. |
| rbacGroupNames | Lista med strängar | Gruppnamn på RBAC-enheter där indikatorn exponeras och är aktiv. Tom lista om den exponeras för alla enheter. |
| rbacGroupIds | Lista med strängar | Grupp-ID för RBAC-enhet är där indikatorn exponeras och är aktiv. Tom lista om den exponeras för alla enheter. |
| generateAlert | Uppräkning | Sant om aviseringsgenerering krävs, Falskt om den här indikatorn inte ska generera en avisering. |
Indikatortyper
De indikatoråtgärdstyper som stöds av API:et är:
- Tillåts
- Granskning
- Blockera
- BlockAndRemediate
- Varna (endast Defender för molnappar)
Mer information om beskrivningen av svarsåtgärdstyperna finns i Skapa indikatorer.
Anteckning
Tidigare svarsåtgärder (AlertAndBlock och Avisering) stöds till januari 2022. Efter detta datum måste alla kunder använda någon av åtgärdstyperna som anges ovan.
Json-representation
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}