Condividi tramite


Tipo di risorsa indicatore

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Nota

Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.

Consiglio

Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com
Metodo Tipo restituito Descrizione
Elenca indicatori Indicatore Collezione Elencare le entità indicatore .
Invia indicatore Indicatore Inviare o aggiornare l'entità Indicatore .
Indicatori di importazione Indicatore Collezione Inviare o aggiornare entità indicatori .
Elimina indicatore Nessun contenuto Elimina l'entità Indicatore .

Proprietà

Proprietà Tipo Descrizione
id Stringa Identità dell'entità Indicator .
indicatorValue Stringa Valore dell'indicatore.
indicatorType Enumerazione Tipo dell'indicatore. I valori possibili sono: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainNamee Url.
applicazione Stringa Applicazione associata all'indicatore.
action Enumerazione Azione eseguita se l'indicatore viene individuato nell'organizzazione. I valori possibili sono: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediatee Allowed.
externalID Stringa ID che il cliente può inviare nella richiesta di correlazione personalizzata.
sourceType Enumerazione User nel caso in cui l'indicatore creato da un utente (ad esempio, dal portale), AadApp nel caso in cui sia stato inviato usando l'applicazione automatizzata tramite l'API.
createdBySource stringa Nome dell'utente/applicazione che ha inviato l'indicatore.
createdBy Stringa Identità univoca dell'utente/applicazione che ha inviato l'indicatore.
lastUpdatedBy Stringa Identità dell'utente/applicazione che ha aggiornato l'indicatore per l'ultima volta.
creationTimeDateTimeUtc DateTimeOffset Data e ora di creazione dell'indicatore.
expirationTime DateTimeOffset Ora di scadenza dell'indicatore.
lastUpdateTime DateTimeOffset L'ultima volta che l'indicatore è stato aggiornato.
severità Enumerazione Gravità dell'indicatore. I valori possibili sono: Informational, Low, Mediume High.
title Stringa Titolo indicatore.
descrizione Stringa Descrizione dell'indicatore.
recommendedActions Stringa Azioni consigliate per l'indicatore.
rbacGroupNames Elenco di stringhe Nomi di gruppi di dispositivi con controllo degli accessi in base al ruolo in cui l'indicatore è esposto e attivo. Elenco vuoto nel caso in cui sia esposto a tutti i dispositivi.
rbacGroupIds Elenco di stringhe ID gruppo di dispositivi controllo degli accessi in base al ruolo in cui l'indicatore è esposto e attivo. Elenco vuoto nel caso in cui sia esposto a tutti i dispositivi.
generateAlert Enumerazione True se è necessaria la generazione di avvisi, False se questo indicatore non deve generare un avviso.

Tipi di indicatori

I tipi di azione dell'indicatore supportati dall'API sono:

  • Consentito
  • Audit
  • Blocca
  • BlockAndRemediate
  • Avvisa (solo Defender for Cloud Apps)

Per altre informazioni sulla descrizione dei tipi di azione di risposta, vedere Creare indicatori.

Nota

Le azioni di risposta precedenti (AlertAndBlock e Alert) saranno supportate fino a gennaio 2022. Dopo questa data, tutti i clienti devono usare uno dei tipi di azione elencati in questa sezione.

Rappresentazione Json

{
    "id": "994",
    "indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
    "indicatorType": "FileSha256",
    "action": "AlertAndBlock",
    "application": null,
    "source": "user@contoso.onmicrosoft.com",
    "sourceType": "User",
    "createdBy": "user@contoso.onmicrosoft.com",
    "severity": "Informational",
    "title": "Michael test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
    "expirationTime": null,
    "lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": ["team1"]
}

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.