Freigeben über


Api zum Importieren von Indikatoren

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie bitte die URIs, die in Microsoft Defender for Endpoint für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-Beschreibung

Übermittelt oder Updates Batch von Indikatorentitäten.

CIDR-Notation für IP-Adressen wird nicht unterstützt.

Begrenzungen

  1. Die Ratenbeschränkungen für diese API sind 30 Aufrufe pro Minute.
  2. Es gibt einen Grenzwert von 15.000 aktiven Indikatoren pro Mandant.
  3. Die maximale Batchgröße für einen API-Aufruf beträgt 500.

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Erste Schritte.

Berechtigungstyp Berechtigung Anzeigename der Berechtigung
App Ti.ReadWrite Read and write Indicators
App Ti.ReadWrite.All Read and write All Indicators
Delegiert (Geschäfts-, Schul- oder Unikonto) Ti.ReadWrite Read and write Indicators

HTTP-Anforderung

POST https://api.securitycenter.microsoft.com/api/indicators/import

Anforderungsheader

Name Typ Beschreibung
Authorization String Bearer {token}. Erforderlich.
Content-Type string application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext ein JSON-Objekt mit den folgenden Parametern an:

Parameter Typ Beschreibung
Indikatoren Indikator auflisten<> Liste der Indikatoren. Erforderlich

Antwort

  • Wenn die Methode erfolgreich verläuft, wird der Antwortcode 200 – OK mit einer Liste der Importergebnisse pro Indikator zurückgegeben. Weitere Informationen finden Sie im folgenden Beispiel.
  • Wenn nicht erfolgreich: Diese Methode gibt 400 – Ungültige Anforderung zurück. Eine fehlerhafte Anforderung weist in der Regel auf einen falschen Text hin.

Beispiel

Anforderungsbeispiel

Hier sehen Sie ein Beispiel für die Anforderung.

POST https://api.securitycenter.microsoft.com/api/indicators/import
{
    "Indicators":
    [
        {
            "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "title": "demo",
            "application": "demo-test",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Informational",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": ["group1", "group2"]
        },
        {
            "indicatorValue": "2233223322332233223322332233223322332233223322332233223322332222",
            "indicatorType": "FileSha256",
            "title": "demo2",
            "application": "demo-test2",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Medium",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": []
        }
    ]
}

Anforderungsbeispiel

Hier ist ein Beispiel für die Antwort.

{
    "value": [
        {
            "id": "2841",
            "indicator": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "isFailed": false,
            "failureReason": null
        },
        {
            "id": "2842",
            "indicator": "2233223322332233223322332233223322332233223322332233223322332222",
            "isFailed": false,
            "failureReason": null
        }
    ]
}

Verwandter Artikel

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.