Jaa


Lähetä tai päivitä ilmaisimen ohjelmointirajapinta

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint lueteltuja URI-tunnuksia Yhdysvaltain valtionhallinnon asiakkaille.

Vihje

Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Ohjelmointirajapinnan kuvaus

Lähettää tai Päivitykset uuden ilmaisinentiteetin.

IPS:n CIDR-merkintätapa ei ole tuettu.

Rajoitukset

  1. Tämän ohjelmointirajapinnan nopeusrajoitukset ovat 100 puhelua minuutissa ja 1 500 puhelua tunnissa.
  2. Vuokraajaa kohden on rajoitettu 15 000 aktiivista ilmaisinta.

Käyttöoikeudet

Tämän ohjelmointirajapinnan kutsumiseen tarvitaan jokin seuraavista käyttöoikeuksista. Lisätietoja, mukaan lukien käyttöoikeuksien valitseminen, on artikkelissa Aloittaminen.

Käyttöoikeustyyppi Lupa Käyttöoikeuden näyttönimi
Sovellus Ti.ReadWrite Read and write Indicators
Sovellus Ti.ReadWrite.All Read and write All Indicators
Delegoitu (työpaikan tai oppilaitoksen tili) Ti.ReadWrite Read and write Indicators

HTTP-pyyntö

POST https://api.securitycenter.microsoft.com/api/indicators

Pyynnön otsikot

Nimi Kirjoita Kuvaus
Lupa Merkkijono Haltija {token}. Pakollinen.
Sisältötyyppi merkkijono application/json. Pakollinen.

Pyynnön leipäteksti

Anna pyynnön leipätekstissä JSON-objekti, jolla on seuraavat parametrit:

Parametri Kirjoita Kuvaus
indicatorValue Merkkijono Ilmaisinentiteetin käyttäjätiedot. Pakollinen
indicatorType Luettelointi Ilmaisimen tyyppi. Mahdollisia arvoja ovat : FileSha1, FileMd5, CertificateThumbprint, , FileSha256, IpAddress, DomainName, ja Url. Pakollinen
toiminta Luettelointi Toiminto, joka suoritetaan, jos ilmaisin löydetään organisaatiosta. Mahdollisia arvoja ovat : Alert, Warn, Block, , Audit, BlockAndRemediate, AlertAndBlock, ja Allowed. Pakollinen. Parametrin GenerateAlert arvoksi TRUE on asetettava , kun toimintoa luodaan kohteen kanssa Audit.
sovellus Merkkijono Ilmaisimeen liittyvä sovellus. Tämä kenttä toimii vain uusissa ilmaisimissa. Se ei päivitä olemassa olevan ilmaisimen arvoa. Valinnainen
nimike Merkkijono Ilmaisinilmoituksen otsikko. Pakollinen
kuvaus Merkkijono Ilmaisimen kuvaus. Pakollinen
expirationTime DateTimeOffset Ilmaisimen vanhentumisaika. Valinnainen
vakavuus Luettelointi Ilmaisimen vakavuus. Mahdollisia arvoja ovat : Informational, Low, Medium, ja High. Valinnainen
recommendedActions Merkkijono Ti-ilmaisimen ilmoitus suositelluista toiminnoista. Valinnainen
rbacGroupNames Merkkijono Pilkuin eroteltu luettelo RBAC-ryhmien nimistä, joiden kanssa ilmaisinta käytetään. Valinnainen
educateUrl Merkkijono Mukautetun ilmoituksen/tuen URL-osoite. Tuetaan URL-ilmaisimien Estä- ja Varoita-toimintotyypeissä. Valinnainen
generateAlert Luettelointi Tosi , jos ilmoituksen luonti vaaditaan, epätosi , jos tämän ilmaisimen ei pitäisi luoda ilmoitusta.

Vastaus

  • Jos tämä menetelmä onnistuu, se palauttaa arvon 200 - OK-vastauskoodin ja luodun / päivitetyn ilmaisinentiteetin vastauksen leipätekstissä.
  • Jos se ei onnistunut: tämä menetelmä palauttaa arvon 400 - Virheellinen pyyntö. Virheellinen pyyntö viittaa yleensä virheelliseen leipätekstiin.

Esimerkki

Pyytää

Tässä on esimerkki pyynnöstä.

POST https://api.securitycenter.microsoft.com/api/indicators
{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

Aiheeseen liittyvä artikkeli

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.