API Invia o Aggiorna indicatore
Si applica a:
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Nota
Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.
Consiglio
Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Descrizione DELL'API
Invia o Aggiornamenti nuova entità Indicatore.
La notazione CIDR per gli indirizzi IP non è supportata.
Limitazioni
- Le limitazioni di frequenza per questa API sono 100 chiamate al minuto e 1.500 chiamate all'ora.
- È previsto un limite di 15.000 indicatori attivi per tenant.
Autorizzazioni
Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, incluso come scegliere le autorizzazioni, vedere Introduzione.
Tipo di autorizzazione | Autorizzazione | Nome visualizzato autorizzazioni |
---|---|---|
Applicazione | Ti.ReadWrite | Read and write Indicators |
Applicazione | Ti.ReadWrite.All | Read and write All Indicators |
Delegato (account aziendale o dell'istituto di istruzione) | Ti.ReadWrite | Read and write Indicators |
Richiesta HTTP
POST https://api.securitycenter.microsoft.com/api/indicators
Intestazioni di richiesta
Nome | Tipo | Descrizione |
---|---|---|
Autorizzazione | Stringa | Bearer {token}. Obbligatorio. |
Content-Type | stringa | application/json. Obbligatorio. |
Corpo della richiesta
Nel corpo della richiesta specificare un oggetto JSON con i parametri seguenti:
Parametro | Tipo | Descrizione |
---|---|---|
indicatorValue | Stringa | Identità dell'entità Indicator . Obbligatorio |
indicatorType | Enumerazione | Tipo dell'indicatore. I valori possibili sono: FileSha1 , FileMd5 , CertificateThumbprint , FileSha256 , IpAddress , DomainName e Url .
Obbligatorio |
action | Enumerazione | Azione eseguita se l'indicatore viene individuato nell'organizzazione. I valori possibili sono: Alert , Warn , Block , Audit , BlockAndRemediate , AlertAndBlock e Allowed .
Obbligatorio. Il GenerateAlert parametro deve essere impostato su TRUE quando si crea un'azione con Audit . |
applicazione | Stringa | Applicazione associata all'indicatore. Questo campo funziona solo per i nuovi indicatori. Non aggiorna il valore in un indicatore esistente. Opzionale |
title | Stringa | Titolo dell'avviso dell'indicatore. Obbligatorio |
descrizione | Stringa | Descrizione dell'indicatore. Obbligatorio |
expirationTime | DateTimeOffset | Ora di scadenza dell'indicatore. Opzionale |
severità | Enumerazione | Gravità dell'indicatore. I valori possibili sono: Informational , Low , Medium e High .
Opzionale |
recommendedActions | Stringa | Azioni consigliate per l'avviso dell'indicatore TI. Opzionale |
rbacGroupNames | Stringa | Elenco delimitato da virgole dei nomi dei gruppi di controllo degli accessi in base al ruolo a cui verrà applicato l'indicatore. Opzionale |
educateUrl | Stringa | URL di notifica/supporto personalizzato. Supportato per i tipi di azione Blocca e Avvisa per gli indicatori URL. Opzionale |
generateAlert | Enumerazione | True se è necessaria la generazione di avvisi, False se questo indicatore non deve generare un avviso. |
Risposta
- In caso di esito positivo, questo metodo restituisce il codice di risposta 200 - OK e l'entità Indicator creata/aggiornata nel corpo della risposta.
- In caso di esito negativo: questo metodo restituisce 400 - Richiesta non valida. La richiesta non valida indica in genere un corpo non corretto.
Esempio
Richiesta
Ecco un esempio della richiesta.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Articolo correlato
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.