Freigeben über


Übermitteln oder Aktualisieren der Indikator-API

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie bitte die URIs, die in Microsoft Defender for Endpoint für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-Beschreibung

Übermittelt oder Updates neue Indikatorentität.

CIDR-Notation für IP-Adressen wird nicht unterstützt.

Begrenzungen

  1. Die Ratenbeschränkungen für diese API sind 100 Aufrufe pro Minute und 1.500 Aufrufe pro Stunde.
  2. Es gibt einen Grenzwert von 15.000 aktiven Indikatoren pro Mandant.

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Erste Schritte.

Berechtigungstyp Berechtigung Anzeigename der Berechtigung
App Ti.ReadWrite Read and write Indicators
App Ti.ReadWrite.All Read and write All Indicators
Delegiert (Geschäfts-, Schul- oder Unikonto) Ti.ReadWrite Read and write Indicators

HTTP-Anforderung

POST https://api.securitycenter.microsoft.com/api/indicators

Anforderungsheader

Name Typ Beschreibung
Authorization String Bearer {token}. Erforderlich.
Content-Type string application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext ein JSON-Objekt mit den folgenden Parametern an:

Parameter Typ Beschreibung
indicatorValue String Identität der Indikatorentität . Erforderlich
indicatorType Enum Typ des Indikators. Mögliche Werte sind: FileSha1, FileMd5, CertificateThumbprint, FileSha256, IpAddress, DomainNameund Url. Erforderlich
Aktion Enum Die Aktion, die ausgeführt wird, wenn der Indikator im organization erkannt wird. Mögliche Werte sind: Alert, Warn, Block, Audit, BlockAndRemediate, AlertAndBlockund Allowed. Erforderlich. Der GenerateAlert Parameter muss auf TRUE festgelegt werden, wenn eine Aktion mit Auditerstellt wird.
Anwendung String Die dem Indikator zugeordnete Anwendung. Dieses Feld funktioniert nur für neue Indikatoren. Der Wert für einen vorhandenen Indikator wird nicht aktualisiert. Optional
title String Indikatorwarnungstitel. Erforderlich
description String Beschreibung des Indikators. Erforderlich
expirationTime DateTimeOffset Die Ablaufzeit des Indikators. Optional
Schweregrad Enum Der Schweregrad des Indikators. Mögliche Werte sind: Informational, Low, Medium, und High. Optional
recommendedActions String Empfohlene Aktionen für TI-Indikatorwarnungen. Optional
rbacGroupNames String Durch Trennzeichen getrennte Liste von RBAC-Gruppennamen, auf die der Indikator angewendet wird. Optional
educateUrl String Benutzerdefinierte Benachrichtigungs-/Support-URL. Unterstützt für die Aktionstypen Blockieren und Warnen für URL-Indikatoren. Optional
generateAlert Enum True , wenn die Warnungsgenerierung erforderlich ist, False , wenn dieser Indikator keine Warnung generieren soll.

Antwort

  • Bei erfolgreicher Ausführung gibt die Methode den Antwortcode 200 – OK und die erstellte/aktualisierte Indikatorentität im Antworttext zurück.
  • Wenn nicht erfolgreich: Diese Methode gibt 400 – Ungültige Anforderung zurück. Eine fehlerhafte Anforderung weist in der Regel auf einen falschen Text hin.

Beispiel

Anforderung

Hier sehen Sie ein Beispiel für die Anforderung.

POST https://api.securitycenter.microsoft.com/api/indicators
{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

Verwandter Artikel

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.