Api zum Importieren von Indikatoren
Gilt für:
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Hinweis
Wenn Sie ein US Government-Kunde sind, verwenden Sie bitte die URIs, die in Microsoft Defender for Endpoint für US Government-Kunden aufgeführt sind.
Tipp
Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-Beschreibung
Übermittelt oder Updates Batch von Indikatorentitäten.
CIDR-Notation für IP-Adressen wird nicht unterstützt.
Begrenzungen
- Die Ratenbeschränkungen für diese API sind 30 Aufrufe pro Minute.
- Es gibt einen Grenzwert von 15.000 aktiven Indikatoren pro Mandant.
- Die maximale Batchgröße für einen API-Aufruf beträgt 500.
Berechtigungen
Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Erste Schritte.
Berechtigungstyp | Berechtigung | Anzeigename der Berechtigung |
---|---|---|
App | Ti.ReadWrite | Read and write Indicators |
App | Ti.ReadWrite.All | Read and write All Indicators |
Delegiert (Geschäfts-, Schul- oder Unikonto) | Ti.ReadWrite | Read and write Indicators |
HTTP-Anforderung
POST https://api.securitycenter.microsoft.com/api/indicators/import
Anforderungsheader
Name | Typ | Beschreibung |
---|---|---|
Authorization | String | Bearer {token}. Erforderlich. |
Content-Type | string | application/json. Erforderlich. |
Anforderungstext
Geben Sie im Anforderungstext ein JSON-Objekt mit den folgenden Parametern an:
Parameter | Typ | Beschreibung |
---|---|---|
Indikatoren | Indikator auflisten<> | Liste der Indikatoren. Erforderlich |
Antwort
- Wenn die Methode erfolgreich verläuft, wird der Antwortcode 200 – OK mit einer Liste der Importergebnisse pro Indikator zurückgegeben. Weitere Informationen finden Sie im folgenden Beispiel.
- Wenn nicht erfolgreich: Diese Methode gibt 400 – Ungültige Anforderung zurück. Eine fehlerhafte Anforderung weist in der Regel auf einen falschen Text hin.
Beispiel
Anforderungsbeispiel
Hier sehen Sie ein Beispiel für die Anforderung.
POST https://api.securitycenter.microsoft.com/api/indicators/import
{
"Indicators":
[
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "demo",
"application": "demo-test",
"expirationTime": "2021-12-12T00:00:00Z",
"action": "Alert",
"severity": "Informational",
"description": "demo2",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
},
{
"indicatorValue": "2233223322332233223322332233223322332233223322332233223322332222",
"indicatorType": "FileSha256",
"title": "demo2",
"application": "demo-test2",
"expirationTime": "2021-12-12T00:00:00Z",
"action": "Alert",
"severity": "Medium",
"description": "demo2",
"recommendedActions": "nothing",
"rbacGroupNames": []
}
]
}
Anforderungsbeispiel
Hier ist ein Beispiel für die Antwort.
{
"value": [
{
"id": "2841",
"indicator": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"isFailed": false,
"failureReason": null
},
{
"id": "2842",
"indicator": "2233223322332233223322332233223322332233223322332233223322332222",
"isFailed": false,
"failureReason": null
}
]
}
Verwandter Artikel
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.