API de enviar o actualizar indicador
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión
- Microsoft Defender XDR
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Nota:
Si es cliente del Gobierno de EE. UU., use los URI que aparecen en Microsoft Defender para punto de conexión para los clientes del Gobierno de EE. UU.
Sugerencia
Para mejorar el rendimiento, puede usar el servidor más cercano a la ubicación geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Descripción de la API
Envía o Novedades nueva entidad Indicator.
No se admite la notación CIDR para direcciones IP.
Limitaciones
- Las limitaciones de velocidad de esta API son 100 llamadas por minuto y 1500 llamadas por hora.
- Hay un límite de 15 000 indicadores activos por inquilino.
Permisos
Se requiere uno de los siguientes permisos para llamar a esta API. Para más información, incluido cómo elegir permisos, consulte Introducción.
Tipo de permiso | Permiso | Nombre para mostrar del permiso |
---|---|---|
Aplicación | Ti.ReadWrite | Read and write Indicators |
Aplicación | Ti.ReadWrite.All | Read and write All Indicators |
Delegado (cuenta profesional o educativa) | Ti.ReadWrite | Read and write Indicators |
Solicitud HTTP
POST https://api.securitycenter.microsoft.com/api/indicators
Encabezados de solicitud
Nombre | Tipo | Descripción |
---|---|---|
Authorization | Cadena | {token} de portador. Necesario. |
Content-Type | string | application/json. Necesario. |
Cuerpo de la solicitud
En el cuerpo de la solicitud, proporcione un objeto JSON con los parámetros siguientes:
Parámetro | Tipo | Descripción |
---|---|---|
indicatorValue | Cadena | Identidad de la entidad Indicator . Required |
indicatorType | Enum | Tipo del indicador. Los valores posibles son: FileSha1 , FileMd5 , CertificateThumbprint , FileSha256 , IpAddress , DomainName y Url .
Required |
acción | Enum | Acción que se realiza si el indicador se detecta en la organización. Los valores posibles son: Alert , Warn , Block , Audit , BlockAndRemediate , AlertAndBlock y Allowed .
Necesario. El GenerateAlert parámetro debe establecerse en TRUE al crear una acción con Audit . |
aplicación | Cadena | Aplicación asociada al indicador. Este campo solo funciona para nuevos indicadores. No actualiza el valor en un indicador existente. Optional |
title | Cadena | Título de alerta de indicador. Required |
description | Cadena | Descripción del indicador. Required |
expirationTime | DateTimeOffset | Tiempo de expiración del indicador. Optional |
severity | Enum | Gravedad del indicador. Los valores posibles son Informational , Low , Medium y High
Optional |
recommendedActions | Cadena | Acciones recomendadas de alerta de indicador de TI. Optional |
rbacGroupNames | Cadena | Lista separada por comas de nombres de grupo de RBAC a los que se aplicaría el indicador. Optional |
educateUrl | Cadena | Dirección URL de soporte técnico o notificación personalizada. Compatible con los tipos de acción Bloquear y Advertir para los indicadores de dirección URL. Optional |
generateAlert | Enum | True si se requiere la generación de alertas, False si este indicador no debe generar una alerta. |
Respuesta
- Si se ejecuta correctamente, este método devuelve el código de respuesta 200 - OK y la entidad Indicator creada o actualizada en el cuerpo de la respuesta.
- Si no se ejecuta correctamente: este método devuelve 400 - Solicitud incorrecta. La solicitud incorrecta suele indicar un cuerpo incorrecto.
Ejemplo
Solicitud
Este es un ejemplo de la solicitud.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Artículo relacionado
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.