提交或更新指標 API

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

注意事項

如果您是美國政府客戶，請使用美國政府客戶 適用於端點的 Microsoft Defender 中所列的 URI。

提示

為了獲得更好的效能，您可以使用更接近您地理位置的伺服器：

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

API 描述

提交或 匯報 新的 Indicator 實體。

不支援IP的CIDR表示法。

限制

1. 此 API 的速率限制為每分鐘 100 次呼叫，每小時 1,500 次呼叫。
2. 每個租使用者有15,000個作用中指標的限制。

權限

呼叫此 API 需要下列其中一個許可權。 若要深入瞭解，包括如何選擇許可權，請參閱 開始使用。

許可權類型	權限	許可權顯示名稱
應用程式	Ti.ReadWrite	Read and write Indicators
應用程式	Ti.ReadWrite.All	Read and write All Indicators
委派 (公司或學校帳戶)	Ti.ReadWrite	Read and write Indicators

HTTP 要求

POST https://api.securitycenter.microsoft.com/api/indicators

要求標頭

名稱	類型	描述
授權	字串	持有人 {token}。 必要。
Content-Type	字串	application/json。 必要。

要求內文

在要求本文中，提供具有下列參數的 JSON 物件：

參數	Type	描述
indicatorValue	字串	指標實體的身分識別。 Required
indicatorType	Enum	指標的類型。 可能的值為： FileSha1、 FileMd5、 CertificateThumbprint、 FileSha256、 IpAddress、 DomainName和 Url。 Required
action	Enum	在組織中探索到指標時所採取的動作。 可能的值為： Alert、 Warn、 Block、 Audit、 BlockAndRemediate、 AlertAndBlock和 Allowed。 必要。 使用 GenerateAlert 建立動作Audit時，參數必須設定為 TRUE 。
應用程式	字串	與指標相關聯的應用程式。 此欄位僅適用於新的指標。 它不會更新現有指標上的值。 Optional
title	字串	指標警示標題。 Required
描述	字串	指標的描述。 Required
expirationTime	DateTimeOffset	指標的到期時間。 Optional
嚴重性	Enum	指標的嚴重性。 可能的值為： Informational、 Low、 Medium和 High。 Optional
recommendedActions	字串	TI 指標警示建議的動作。 Optional
rbacGroupNames	字串	要套用指標的 RBAC 組名逗號分隔清單。 Optional
educateUrl	字串	自訂通知/支援URL。 支援 URL 指標的封鎖和警告動作類型。 Optional
generateAlert	Enum	如果 需要產生警示，則為 True;如果此指標不應該產生警示，則為 False 。

回應

• 如果成功，這個方法會傳回響應主體中的 200 - OK 回應碼和已建立/更新的 Indicator 實體。
• 如果失敗：此方法會傳回 400 - 不正確的要求。 不正確的要求通常表示本文不正確。

範例

請求

以下是要求的範例。

POST https://api.securitycenter.microsoft.com/api/indicators

{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

相關文章

• 管理指示器

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。