Indikatorresurstyp

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Anteckning

Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.

Tips

För bättre prestanda kan du använda servern närmare din geografiska plats:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com
Metod Returtyp Beskrivning
Lista indikatorer Indikator Samling Enheter i listindikator.
Skicka indikator Indikator Skicka eller uppdatera indikator entitet.
Importindikatorer Indikator Samling Skicka eller uppdatera indikatorer.
Ta bort indikator Inget innehåll Tar bort indikator entitet.

Egenskaper

Egenskap Typ Beskrivning
id Sträng Identiteten för indikatorenheten.
indicatorValue Sträng Värdet på indikatorn.
indicatorType Uppräkning Typ av indikator. Möjliga värden är: "FileSha1", "FileSha256", "FileMd5", "CertificateThumbprint", "IpAddress", "DomainName" och "Url".
program Sträng Programmet som är kopplat till indikatorn.
åtgärd Uppräkning Den åtgärd som kommer att vidtas om indikatorn upptäcks i organisationen. Möjliga värden är: "Varna", "Block", "Granskning", "Avisering", "AlertAndBlock", "BlockAndRemediate" och "Allowed".
externalID Sträng Id som kunden kan skicka i begäran om anpassad korrelation.
sourceType Uppräkning "Användare" om indikatorn skapades av en användare (till exempel från portalen), "AadApp" om den skickades med automatiserad ansökan via API:t.
createdBySource sträng Namnet på den användare/det program som skickade indikatorn.
createdBy Sträng Unik identitet för användaren/programmet som skickade indikatorn.
lastUpdatedBy Sträng Identiteten för den användare/det program som senast uppdaterade indikatorn.
creationTimeDateTimeUtc DateTimeOffset Datum och tid då indikatorn skapades.
expirationTime DateTimeOffset Indikatorns utgångstid.
lastUpdateTime DateTimeOffset Den senaste gången indikatorn uppdaterades.
allvarlighetsgrad Uppräkning Indikatorns allvarlighetsgrad. Möjliga värden är: "Informationsblad", "Låg", "Medel" och "Hög".
rubrik Sträng Indikatorrubrik.
description Sträng Beskrivning av indikatorn.
recommendedActions Sträng Rekommenderade åtgärder för indikatorn.
rbacGroupNames Lista med strängar Gruppnamn på RBAC-enheter där indikatorn exponeras och är aktiv. Tom lista om den exponeras för alla enheter.
rbacGroupIds Lista med strängar Grupp-ID för RBAC-enhet är där indikatorn exponeras och är aktiv. Tom lista om den exponeras för alla enheter.
generateAlert Uppräkning Sant om aviseringsgenerering krävs, Falskt om den här indikatorn inte ska generera en avisering.

Indikatortyper

De indikatoråtgärdstyper som stöds av API:et är:

  • Tillåts
  • Granskning
  • Blockera
  • BlockAndRemediate
  • Varna (endast Defender för molnappar)

Mer information om beskrivningen av svarsåtgärdstyperna finns i Skapa indikatorer.

Anteckning

Tidigare svarsåtgärder (AlertAndBlock och Avisering) stöds till januari 2022. Efter detta datum måste alla kunder använda någon av åtgärdstyperna som anges ovan.

Json-representation

{
    "id": "994",
    "indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
    "indicatorType": "FileSha256",
    "action": "AlertAndBlock",
    "application": null,
    "source": "user@contoso.onmicrosoft.com",
    "sourceType": "User",
    "createdBy": "user@contoso.onmicrosoft.com",
    "severity": "Informational",
    "title": "Michael test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
    "expirationTime": null,
    "lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": ["team1"]
}