API d’envoi ou de mise à jour de l’indicateur
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison
- Microsoft Defender XDR
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Remarque
Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.
Conseil
Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Description de l’API
Envoie ou Mises à jour nouvelle entité Indicateur.
La notation CIDR pour les adresses IP n’est pas prise en charge.
Limitations
- Les limitations de débit pour cette API sont de 100 appels par minute et de 1 500 appels par heure.
- Il existe une limite de 15 000 indicateurs actifs par locataire.
Autorisations
L’une des autorisations suivantes est nécessaire pour appeler cette API. Pour en savoir plus, notamment sur le choix des autorisations, consultez Prise en main.
| Type d’autorisation | Autorisation | Nom complet de l’autorisation |
|---|---|---|
| Application | Ti.ReadWrite | Read and write Indicators |
| Application | Ti.ReadWrite.All | Read and write All Indicators |
| Déléguée (compte professionnel ou scolaire) | Ti.ReadWrite | Read and write Indicators |
Requête HTTP
POST https://api.securitycenter.microsoft.com/api/indicators
En-têtes de demande
| Nom | Type | Description |
|---|---|---|
| Autorisation | Chaîne | Porteur {token}. Obligatoire. |
| Content-Type | string | application/json. Obligatoire. |
Corps de la demande
Dans le corps de la demande, fournissez un objet JSON avec les paramètres suivants :
| Paramètre | Type | Description |
|---|---|---|
| indicatorValue | String | Identité de l’entité Indicateur . Obligatoire |
| indicatorType | Énum | Type de l’indicateur. Les valeurs possibles sont , FileSha1, CertificateThumbprintFileMd5, FileSha256IpAddress, DomainName, et Url.
Obligatoire |
| action | Énum | Action effectuée si l’indicateur est découvert dans le organization. Les valeurs possibles sont , Alert, BlockWarn, AuditBlockAndRemediate, AlertAndBlock, et Allowed.
Obligatoire. Le GenerateAlert paramètre doit être défini sur TRUE lors de la création d’une action avec Audit. |
| application | String | Application associée à l’indicateur. Ce champ fonctionne uniquement pour les nouveaux indicateurs. Il ne met pas à jour la valeur sur un indicateur existant. Optional |
| title | String | Titre de l’alerte de l’indicateur. Obligatoire |
| description | String | Description de l’indicateur. Obligatoire |
| expirationTime | DateTimeOffset | Heure d’expiration de l’indicateur. Optional |
| Sévérité | Énum | Gravité de l’indicateur. Les valeurs possibles sont : Informational, Low, Medium, et High
Optional |
| recommendedActions | String | Actions recommandées pour l’alerte d’indicateur TI. Optional |
| rbacGroupNames | String | Liste séparée par des virgules des noms de groupes RBAC auquel l’indicateur doit être appliqué. Optional |
| educateUrl | String | URL de notification/de support personnalisée. Pris en charge pour les types d’actions Bloquer et Avertir pour les indicateurs d’URL. Optional |
| generateAlert | Énum | True si la génération d’alerte est requise, False si cet indicateur ne doit pas générer d’alerte. |
Réponse
- Si elle réussit, cette méthode retourne le code de réponse 200 - OK et l’entité Indicateur créée/mise à jour dans le corps de la réponse.
- Si elle échoue : cette méthode retourne 400 - Requête incorrecte. Une requête incorrecte indique généralement un corps incorrect.
Exemple
Demande
Voici un exemple de demande.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Article connexe
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.