Ressourcetype for indikator
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Bemærk!
Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for us Government-kunder.
Tip
For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- Se den tilsvarende side Indikatorer på portalen.
Metode | Returtype | Beskrivelse |
---|---|---|
Angiv indikatorer | Indikator Samling | Listeindikatorobjekter. |
Indsend indikator | Indikator | Send eller opdater indikatorobjekt . |
Importér indikatorer | Indikator Samling | Indsend eller opdater indikatorer . |
Slet Indikator | Intet indhold | Sletter indikatorobjektet . |
Egenskaber
Egenskab | Type | Beskrivelse |
---|---|---|
id | String | Id for indikatorenheden . |
indicatorValue | String | Indikatorens værdi. |
indicatorType | Optæller | Indikatorens type. De mulige værdier er: FileSha1 , FileSha256 , FileMd5 , CertificateThumbprint , DomainName IpAddress , og Url . |
ansøgning | String | Det program, der er knyttet til indikatoren. |
handling | Optæller | Den handling, der udføres, hvis indikatoren registreres i organisationen. De mulige værdier er: Warn , Block , Audit , Alert , BlockAndRemediate AlertAndBlock , og Allowed . |
externalID | String | Id, som kunden kan sende i anmodningen om brugerdefineret korrelation. |
sourceType | Optæller |
User hvis den indikator, der er oprettet af en bruger (f.eks. fra portalen), AadApp hvis den er sendt ved hjælp af et automatiseret program via API'en. |
createdBySource | streng | Navnet på den bruger/det program, der sendte indikatoren. |
createdBy | String | Entydig identitet for den bruger/det program, der sendte indikatoren. |
lastUpdatedBy | String | Identiteten af den bruger/det program, der sidst opdaterede indikatoren. |
creationTimeDateTimeUtc | DateTimeOffset | Den dato og det klokkeslæt, hvor indikatoren blev oprettet. |
expirationTime | DateTimeOffset | Indikatorens udløbstid. |
lastUpdateTime | DateTimeOffset | Sidste gang indikatoren blev opdateret. |
alvorlighed | Optæller | Indikatorens alvorsgrad. De mulige værdier er: Informational , Low , Medium og High . |
titel | String | Indikatortitel. |
beskrivelse | String | Beskrivelse af indikatoren. |
recommendedActions | String | Anbefalede handlinger for indikatoren. |
rbacGroupNames | Liste over strenge | RBAC-enhedsgruppenavne, hvor indikatoren er synlig og aktiv. Tom liste, hvis den vises for alle enheder. |
rbacGroupIds | Liste over strenge | RBAC-enhedsgruppe-id'er, hvor indikatoren er synlig og aktiv. Tom liste, hvis den vises for alle enheder. |
generateAlert | Optæller | Sand , hvis generering af beskeder er påkrævet. Falsk , hvis denne indikator ikke skal generere en besked. |
Indikatortyper
De indikatorhandlingstyper, der understøttes af API'en, er:
- Tilladt
- Overvågning
- Bloker
- BlockAndRemediate
- Advar (kun Defender for Cloud Apps)
Du kan få flere oplysninger om beskrivelsen af svarhandlingstyperne under Opret indikatorer.
Bemærk!
De tidligere svarhandlinger (AlertAndBlock og Alert) understøttes indtil januar 2022. Efter denne dato skal alle kunder bruge en af de handlingstyper, der er angivet i dette afsnit.
Json-repræsentation
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
Se også
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.