Rozhraní API pro odeslání nebo aktualizaci indikátoru
Platí pro:
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Poznámka
Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v Microsoft Defender for Endpoint pro zákazníky státní správy USA.
Tip
Pro lepší výkon můžete použít server blíže k vašemu geografickému umístění:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Popis rozhraní API
Odešle nebo Aktualizace novou entitu indikátoru.
Notace CIDR pro IP adresy se nepodporuje.
Omezení
- Omezení rychlosti pro toto rozhraní API jsou 100 volání za minutu a 1 500 volání za hodinu.
- Existuje limit 15 000 aktivních indikátorů na tenanta.
Oprávnění
K volání tohoto rozhraní API se vyžaduje jedno z následujících oprávnění. Další informace, včetně postupu při výběru oprávnění, najdete v tématu Začínáme.
| Typ oprávnění | Povolení | Zobrazovaný název oprávnění |
|---|---|---|
| Application | Ti.ReadWrite | Read and write Indicators |
| Application | Ti.ReadWrite.All | Read and write All Indicators |
| Delegovaný (pracovní nebo školní účet) | Ti.ReadWrite | Read and write Indicators |
Požadavek HTTP
POST https://api.securitycenter.microsoft.com/api/indicators
Hlavičky požadavků
| Name (Název) | Typ | Popis |
|---|---|---|
| Oprávnění | String | Nosný {token}. Povinné. |
| Typ obsahu | řetězec | application/json. Povinné. |
Text požadavku
V textu požadavku zadejte objekt JSON s následujícími parametry:
| Parametr | Typ | Popis |
|---|---|---|
| indicatorValue | String | Identita entity indikátoru Povinný |
| typ indikátoru | Výčet | Typ ukazatele Možné hodnoty jsou: FileSha1, FileMd5, CertificateThumbprint, FileSha256, IpAddress, DomainNamea Url.
Povinný |
| akce | Výčet | Akce, která se provede, pokud je indikátor zjištěn v organizaci. Možné hodnoty jsou: Alert, Warn, Block, Audit, BlockAndRemediate, AlertAndBlocka Allowed.
Povinné. Při GenerateAlert vytváření akce pomocí Auditmusí být parametr nastaven na TRUE hodnotu . |
| aplikace | String | Aplikace přidružená k indikátoru. Toto pole funguje jenom pro nové indikátory. Neaktualizuje hodnotu existujícího ukazatele. Nepovinný |
| titul | String | Název upozornění indikátoru. Povinný |
| description | String | Popis ukazatele Povinný |
| expirationTime | DateTimeOffset | Doba vypršení platnosti indikátoru. Nepovinný |
| závažnost | Výčet | Závažnost ukazatele. Možné hodnoty jsou: Informational, Low, Mediuma High.
Nepovinný |
| recommendedActions | String | Doporučené akce pro upozornění indikátoru TI. Nepovinný |
| rbacGroupNames | String | Čárkami oddělený seznam názvů skupin RBAC, pro které by se indikátor použil. Nepovinný |
| educateUrl | String | Vlastní oznámení nebo adresa URL podpory Podporuje se pro typy akcí Blokovat a Upozornit pro indikátory adres URL. Nepovinný |
| generateAlert | Výčet | True , pokud se vyžaduje generování upozornění, false , pokud by tento indikátor neměl vygenerovat výstrahu. |
Odpověď
- V případě úspěchu vrátí tato metoda kód odpovědi 200 – OK a vytvořenou nebo aktualizovanou entitu indikátoru v těle odpovědi.
- Pokud se to nepodaří: Tato metoda vrátí hodnotu 400 – Chybný požadavek. Chybný požadavek obvykle značí nesprávné tělo.
Příklad
Prosba
Tady je příklad požadavku.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Související článek
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.