Tipo de recurso indicador
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Nota:
Si es cliente del Gobierno de EE. UU., use los URI que aparecen en Microsoft Defender para punto de conexión para los clientes del Gobierno de EE. UU.
Sugerencia
Para mejorar el rendimiento, puede usar el servidor más cercano a la ubicación geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- Consulte la página Indicadores correspondiente en el portal.
Método | Tipo de valor devuelto | Descripción |
---|---|---|
Mostrar indicadores | Indicador Colección | Entidades de indicador de lista. |
Enviar indicador | Indicador | Enviar o actualizar la entidad Indicator . |
Indicadores de importación | Indicador Colección | Enviar o actualizar entidades indicadoras . |
Eliminar indicador | Sin contenido | Elimina la entidad Indicator . |
Propiedades
Propiedad | Tipo | Descripción |
---|---|---|
id | Cadena | Identidad de la entidad Indicator . |
indicatorValue | Cadena | Valor del indicador. |
indicatorType | Enum | Tipo del indicador. Los valores posibles son: FileSha1 , FileSha256 , FileMd5 , CertificateThumbprint , IpAddress , DomainName y Url . |
aplicación | Cadena | Aplicación asociada al indicador. |
acción | Enum | Acción que se realiza si el indicador se detecta en la organización. Los valores posibles son: Warn , Block , Audit , Alert , AlertAndBlock , BlockAndRemediate y Allowed . |
externalID | Cadena | Identificador que el cliente puede enviar en la solicitud de correlación personalizada. |
sourceType | Enum |
User en caso de que el indicador creado por un usuario (por ejemplo, desde el portal), AadApp en caso de que se envíe mediante una aplicación automatizada a través de la API. |
createdBySource | string | Nombre del usuario o aplicación que envió el indicador. |
createdBy | String | Identidad única del usuario o aplicación que envió el indicador. |
lastUpdatedBy | Cadena | Identidad del usuario o aplicación que actualizó por última vez el indicador. |
creationTimeDateTimeUtc | DateTimeOffset | Fecha y hora en que se creó el indicador. |
expirationTime | DateTimeOffset | Tiempo de expiración del indicador. |
lastUpdateTime | DateTimeOffset | La última vez que se actualizó el indicador. |
severity | Enum | Gravedad del indicador. Los valores posibles son Informational , Low , Medium y High |
title | Cadena | Título del indicador. |
description | Cadena | Descripción del indicador. |
recommendedActions | Cadena | Acciones recomendadas para el indicador. |
rbacGroupNames | Lista de cadenas | Nombres de grupos de dispositivos RBAC donde el indicador está expuesto y activo. Lista vacía en caso de que se exponga a todos los dispositivos. |
rbacGroupIds | Lista de cadenas | Identificadores de grupo de dispositivos RBAC donde el indicador está expuesto y activo. Lista vacía en caso de que se exponga a todos los dispositivos. |
generateAlert | Enum | True si se requiere la generación de alertas, False si este indicador no debe generar una alerta. |
Tipos de indicador
Los tipos de acción del indicador admitidos por la API son:
- Permitido
- Auditoría
- Bloquear
- BlockAndRemediate
- Advertir (solo Defender for Cloud Apps)
Para obtener más información sobre la descripción de los tipos de acción de respuesta, vea Crear indicadores.
Nota:
Las acciones de respuesta anteriores (AlertAndBlock y Alert) se admitirán hasta enero de 2022. Después de esta fecha, todos los clientes deben usar uno de los tipos de acción enumerados en esta sección.
Representación json
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
Recursos adicionales
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.