Share via

提交或更新指示器 API

  • 项目

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

注意

如果你是美国政府客户,请使用美国政府客户Microsoft Defender for Endpoint中列出的 URI。

提示

为了提高性能,可以使用离地理位置更近的服务器:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

API 说明

提交或汇报新的指标实体。

不支持 IP 的 CIDR 表示法。

限制

  1. 此 API 的速率限制是每分钟 100 个调用和每小时 1,500 个调用。
  2. 每个租户限制为 15,000 个活动指示器。

权限

要调用此 API,需要以下权限之一。 若要了解详细信息(包括如何选择权限),请参阅 入门

权限类型 权限 权限显示名称
应用程序 Ti.ReadWrite Read and write Indicators
应用程序 Ti.ReadWrite.All Read and write All Indicators
委派(工作或学校帐户) Ti.ReadWrite Read and write Indicators

HTTP 请求

POST https://api.securitycenter.microsoft.com/api/indicators

请求标头

名称 类型 说明
Authorization String 持有者 {token}。 必需。
Content-Type string application/json. 必需。

请求正文

在请求正文中,提供具有以下参数的 JSON 对象:

参数 类型 说明
indicatorValue String 指示器实体的标识。 必需
indicatorType 枚举 指示器的类型。 可能的值为:FileSha1、、FileMd5CertificateThumbprintFileSha256IpAddressDomainName、 和 Url必需
action 枚举 在组织中发现指示器时执行的操作。 可能的值为:Alert、、WarnBlockAuditBlockAndRemediateAlertAndBlock、 和 Allowed必需。 使用 GenerateAlertAudit创建操作时, 参数必须设置为 TRUE
应用程序 String 与指示器关联的应用程序。 此字段仅适用于新指示器。 它不会更新现有指示器上的值。 可选
title String 指示器警报标题。 必需
说明 String 指示器的说明。 必需
expirationTime DateTimeOffset 指示器的过期时间。 可选
severity 枚举 指示器的严重性。 可能的值为: InformationalLowMediumHigh可选
recommendedActions String TI 指示器警报建议的操作。 可选
rbacGroupNames String 将应用指示器的 RBAC 组名称的逗号分隔列表。 可选
educateUrl String 自定义通知/支持 URL。 支持 URL 指示器的阻止和警告操作类型。 可选
generateAlert 枚举 如果需要生成警报,则为 True;如果此指示器不应生成警报,则为 False

响应

  • 如果成功,此方法在响应正文中返回 200 - 正常响应代码和创建/更新的 Indicator 实体。
  • 如果未成功:此方法返回 400 - 错误的请求。 错误的请求通常表示正文不正确。

示例

请求

下面是请求的示例。

POST https://api.securitycenter.microsoft.com/api/indicators

{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

相关文章

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区