Condividi tramite


Import Indicators API

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Nota

Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.

Consiglio

Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Descrizione DELL'API

Invia o Aggiornamenti batch di entità indicatore.

La notazione CIDR per gli indirizzi IP non è supportata.

Limitazioni

  1. Le limitazioni di frequenza per questa API sono di 30 chiamate al minuto.
  2. È previsto un limite di 15.000 indicatori attivi per ogni tenant.
  3. La dimensione massima del batch per una chiamata API è 500.

Autorizzazioni

Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, incluso come scegliere le autorizzazioni, vedere Introduzione.

Tipo di autorizzazione Autorizzazione Nome visualizzato autorizzazioni
Applicazione Ti.ReadWrite Read and write Indicators
Applicazione Ti.ReadWrite.All Read and write All Indicators
Delegato (account aziendale o dell'istituto di istruzione) Ti.ReadWrite Read and write Indicators

Richiesta HTTP

POST https://api.securitycenter.microsoft.com/api/indicators/import

Intestazioni di richiesta

Nome Tipo Descrizione
Autorizzazione Stringa Bearer {token}. Obbligatorio.
Content-Type stringa application/json. Obbligatorio.

Corpo della richiesta

Nel corpo della richiesta specificare un oggetto JSON con i parametri seguenti:

Parametro Tipo Descrizione
Indicatori Indicatore elenco<> Elenco di indicatori. Obbligatorio

Risposta

  • In caso di esito positivo, questo metodo restituisce 200 - OK codice di risposta con un elenco di risultati di importazione per indicatore, vedere l'esempio seguente.
  • In caso di esito negativo: questo metodo restituisce 400 - Richiesta non valida. La richiesta non valida indica in genere un corpo non corretto.

Esempio

Esempio di richiesta

Ecco un esempio della richiesta.

POST https://api.securitycenter.microsoft.com/api/indicators/import
{
    "Indicators":
    [
        {
            "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "title": "demo",
            "application": "demo-test",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Informational",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": ["group1", "group2"]
        },
        {
            "indicatorValue": "2233223322332233223322332233223322332233223322332233223322332222",
            "indicatorType": "FileSha256",
            "title": "demo2",
            "application": "demo-test2",
            "expirationTime": "2021-12-12T00:00:00Z",
            "action": "Alert",
            "severity": "Medium",
            "description": "demo2",
            "recommendedActions": "nothing",
            "rbacGroupNames": []
        }
    ]
}

Esempio di risposta

Ecco un esempio della risposta.

{
    "value": [
        {
            "id": "2841",
            "indicator": "220e7d15b011d7fac48f2bd61114db1022197f7f",
            "isFailed": false,
            "failureReason": null
        },
        {
            "id": "2842",
            "indicator": "2233223322332233223322332233223322332233223322332233223322332222",
            "isFailed": false,
            "failureReason": null
        }
    ]
}

Articolo correlato

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.