インジケーター API の送信または更新
適用対象:
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
注:
米国政府機関のお客様の場合は、米国政府機関のお客様のMicrosoft Defender for Endpointに記載されている URI を使用してください。
ヒント
パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API の説明
新しい Indicator エンティティを送信またはUpdatesします。
IP の CIDR 表記はサポートされていません。
制限事項
- この API のレート制限は、1 分あたり 100 呼び出しと 1 時間あたり 1,500 呼び出しです。
- テナントごとに 15,000 個のアクティブ なインジケーターの制限があります。
アクセス許可
この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「 概要」を参照してください。
| アクセス許可の種類 | アクセス許可 | アクセス許可の表示名 |
|---|---|---|
| アプリケーション | Ti.ReadWrite | Read and write Indicators |
| アプリケーション | Ti.ReadWrite.All | Read and write All Indicators |
| 委任 (職場または学校のアカウント) | Ti.ReadWrite | Read and write Indicators |
HTTP 要求
POST https://api.securitycenter.microsoft.com/api/indicators
要求ヘッダー
| 名前 | 型 | 説明 |
|---|---|---|
| Authorization | String | ベアラー {token}。 必須。 |
| Content-Type | string | application/json. 必須。 |
要求本文
要求本文で、JSON オブジェクトに次のパラメーターを指定します。
| パラメーター | 型 | 説明 |
|---|---|---|
| indicatorValue | String | Indicator エンティティの ID。 必須 |
| indicatorType | 列挙 | インジケーターの種類。 使用可能な値は、 FileSha1、 FileMd5、 CertificateThumbprint、 FileSha256、 IpAddress、 DomainName、 Urlです。
必須 |
| action | 列挙 | インジケーターがorganizationで検出された場合に実行されるアクション。 使用可能な値は、 Alert、 Warn、 Block、 Audit、 BlockAndRemediate、 AlertAndBlock、 Allowedです。
必須。
Auditを使用してアクションを作成するときは、GenerateAlert パラメーターを TRUE に設定する必要があります。 |
| アプリケーション | String | インジケーターに関連付けられているアプリケーション。 このフィールドは、新しいインジケーターに対してのみ機能します。 既存のインジケーターの値は更新されません。 Optional |
| title | String | インジケーター アラート タイトル。 必須 |
| 説明 | String | インジケーターの説明。 必須 |
| expirationTime | DateTimeOffset | インジケーターの有効期限。 Optional |
| severity | 列挙 | インジケーターの重大度。 可能な値は、Informational、Low、Medium、および High です。
Optional |
| recommendedActions | String | TI インジケーター アラート推奨アクション。 Optional |
| rbacGroupNames | String | インジケーターが適用される RBAC グループ名のコンマ区切りの一覧。 Optional |
| educateUrl | String | カスタム通知/サポート URL。 URL インジケーターの [ブロック] アクションと [警告] アクションの種類でサポートされます。 Optional |
| generateAlert | 列挙 | アラート 生成が必要な場合は True、このインジケーターでアラートを生成しない場合は False 。 |
応答
- 成功した場合、このメソッドは 200 - OK 応答コードと、応答本文で作成/更新された Indicator エンティティを返します。
- 成功しなかった場合: このメソッドは 400 - 無効な要求を返します。 不適切な要求は、通常、本文が正しく表示されていないことを示します。
例
要求
要求の例を次に示します。
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。