Condividi tramite


API Invia o Aggiorna indicatore

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Nota

Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.

Consiglio

Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Descrizione DELL'API

Invia o Aggiornamenti nuova entità Indicatore.

La notazione CIDR per gli indirizzi IP non è supportata.

Limitazioni

  1. Le limitazioni di frequenza per questa API sono 100 chiamate al minuto e 1.500 chiamate all'ora.
  2. È previsto un limite di 15.000 indicatori attivi per tenant.

Autorizzazioni

Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, incluso come scegliere le autorizzazioni, vedere Introduzione.

Tipo di autorizzazione Autorizzazione Nome visualizzato autorizzazioni
Applicazione Ti.ReadWrite Read and write Indicators
Applicazione Ti.ReadWrite.All Read and write All Indicators
Delegato (account aziendale o dell'istituto di istruzione) Ti.ReadWrite Read and write Indicators

Richiesta HTTP

POST https://api.securitycenter.microsoft.com/api/indicators

Intestazioni di richiesta

Nome Tipo Descrizione
Autorizzazione Stringa Bearer {token}. Obbligatorio.
Content-Type stringa application/json. Obbligatorio.

Corpo della richiesta

Nel corpo della richiesta specificare un oggetto JSON con i parametri seguenti:

Parametro Tipo Descrizione
indicatorValue Stringa Identità dell'entità Indicator . Obbligatorio
indicatorType Enumerazione Tipo dell'indicatore. I valori possibili sono: FileSha1, FileMd5, CertificateThumbprint, FileSha256, IpAddress, DomainNamee Url. Obbligatorio
action Enumerazione Azione eseguita se l'indicatore viene individuato nell'organizzazione. I valori possibili sono: Alert, Warn, Block, Audit, BlockAndRemediate, AlertAndBlocke Allowed. Obbligatorio. Il GenerateAlert parametro deve essere impostato su TRUE quando si crea un'azione con Audit.
applicazione Stringa Applicazione associata all'indicatore. Questo campo funziona solo per i nuovi indicatori. Non aggiorna il valore in un indicatore esistente. Opzionale
title Stringa Titolo dell'avviso dell'indicatore. Obbligatorio
descrizione Stringa Descrizione dell'indicatore. Obbligatorio
expirationTime DateTimeOffset Ora di scadenza dell'indicatore. Opzionale
severità Enumerazione Gravità dell'indicatore. I valori possibili sono: Informational, Low, Mediume High. Opzionale
recommendedActions Stringa Azioni consigliate per l'avviso dell'indicatore TI. Opzionale
rbacGroupNames Stringa Elenco delimitato da virgole dei nomi dei gruppi di controllo degli accessi in base al ruolo a cui verrà applicato l'indicatore. Opzionale
educateUrl Stringa URL di notifica/supporto personalizzato. Supportato per i tipi di azione Blocca e Avvisa per gli indicatori URL. Opzionale
generateAlert Enumerazione True se è necessaria la generazione di avvisi, False se questo indicatore non deve generare un avviso.

Risposta

  • In caso di esito positivo, questo metodo restituisce il codice di risposta 200 - OK e l'entità Indicator creata/aggiornata nel corpo della risposta.
  • In caso di esito negativo: questo metodo restituisce 400 - Richiesta non valida. La richiesta non valida indica in genere un corpo non corretto.

Esempio

Richiesta

Ecco un esempio della richiesta.

POST https://api.securitycenter.microsoft.com/api/indicators
{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

Articolo correlato

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.