Tipo di risorsa indicatore
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Nota
Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.
Consiglio
Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- Vedere la pagina Indicatori corrispondente nel portale.
Metodo | Tipo restituito | Descrizione |
---|---|---|
Elenca indicatori | Indicatore Collezione | Elencare le entità indicatore . |
Invia indicatore | Indicatore | Inviare o aggiornare l'entità Indicatore . |
Indicatori di importazione | Indicatore Collezione | Inviare o aggiornare entità indicatori . |
Elimina indicatore | Nessun contenuto | Elimina l'entità Indicatore . |
Proprietà
Proprietà | Tipo | Descrizione |
---|---|---|
id | Stringa | Identità dell'entità Indicator . |
indicatorValue | Stringa | Valore dell'indicatore. |
indicatorType | Enumerazione | Tipo dell'indicatore. I valori possibili sono: FileSha1 , FileSha256 , FileMd5 , CertificateThumbprint , IpAddress , DomainName e Url . |
applicazione | Stringa | Applicazione associata all'indicatore. |
action | Enumerazione | Azione eseguita se l'indicatore viene individuato nell'organizzazione. I valori possibili sono: Warn , Block , Audit , Alert , AlertAndBlock , BlockAndRemediate e Allowed . |
externalID | Stringa | ID che il cliente può inviare nella richiesta di correlazione personalizzata. |
sourceType | Enumerazione |
User nel caso in cui l'indicatore creato da un utente (ad esempio, dal portale), AadApp nel caso in cui sia stato inviato usando l'applicazione automatizzata tramite l'API. |
createdBySource | stringa | Nome dell'utente/applicazione che ha inviato l'indicatore. |
createdBy | Stringa | Identità univoca dell'utente/applicazione che ha inviato l'indicatore. |
lastUpdatedBy | Stringa | Identità dell'utente/applicazione che ha aggiornato l'indicatore per l'ultima volta. |
creationTimeDateTimeUtc | DateTimeOffset | Data e ora di creazione dell'indicatore. |
expirationTime | DateTimeOffset | Ora di scadenza dell'indicatore. |
lastUpdateTime | DateTimeOffset | L'ultima volta che l'indicatore è stato aggiornato. |
severità | Enumerazione | Gravità dell'indicatore. I valori possibili sono: Informational , Low , Medium e High . |
title | Stringa | Titolo indicatore. |
descrizione | Stringa | Descrizione dell'indicatore. |
recommendedActions | Stringa | Azioni consigliate per l'indicatore. |
rbacGroupNames | Elenco di stringhe | Nomi di gruppi di dispositivi con controllo degli accessi in base al ruolo in cui l'indicatore è esposto e attivo. Elenco vuoto nel caso in cui sia esposto a tutti i dispositivi. |
rbacGroupIds | Elenco di stringhe | ID gruppo di dispositivi controllo degli accessi in base al ruolo in cui l'indicatore è esposto e attivo. Elenco vuoto nel caso in cui sia esposto a tutti i dispositivi. |
generateAlert | Enumerazione | True se è necessaria la generazione di avvisi, False se questo indicatore non deve generare un avviso. |
Tipi di indicatori
I tipi di azione dell'indicatore supportati dall'API sono:
- Consentito
- Audit
- Blocca
- BlockAndRemediate
- Avvisa (solo Defender for Cloud Apps)
Per altre informazioni sulla descrizione dei tipi di azione di risposta, vedere Creare indicatori.
Nota
Le azioni di risposta precedenti (AlertAndBlock e Alert) saranno supportate fino a gennaio 2022. Dopo questa data, tutti i clienti devono usare uno dei tipi di azione elencati in questa sezione.
Rappresentazione Json
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
Vedere anche
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.