Microsoft Defender XDRでインシデント API を一覧表示する
適用対象:
注:
MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
API の説明
list incidents API を使用すると、インシデントを並べ替えて、情報に基づいたサイバーセキュリティ対応を作成できます。 環境保持ポリシーで指定した時間範囲内で、ネットワーク上でフラグが設定されたインシデントのコレクションを公開します。 最新のインシデントが一覧の上部に表示されます。 各インシデントには、関連するアラートとその関連エンティティの配列が含まれています。
API では、次の OData 演算子がサポートされています。
$filter、lastUpdateTimecreatedTime、statusおよびassignedToの各プロパティ$topの最大値は 100 です。$skip
制限事項
- 最大ページ サイズは 100 インシデントです。
- 要求の最大レートは 、1 分あたり 50 呼び出 しと 1 時間あたり 1500 呼び出しです。
アクセス許可
この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「access Microsoft Defender XDR API」を参照してください。
| アクセス許可の種類 | アクセス許可 | アクセス許可の表示名 |
|---|---|---|
| アプリケーション | Incident.Read.All | すべてのインシデントの読み取り |
| アプリケーション | Incident.ReadWrite.All | すべてのインシデントの読み取りと書き込み |
| 委任 (職場または学校のアカウント) | Incident.Read | インシデントの読み取り |
| 委任 (職場または学校のアカウント) | Incident.ReadWrite | インシデントの読み取りと書き込み |
注:
ユーザー資格情報を使用してトークンを取得する場合:
- ユーザーは、ポータルでインシデントの表示アクセス許可を持っている必要があります。
- 応答には、ユーザーが公開されているインシデントのみが含まれます。
HTTP 要求
GET /api/incidents
要求ヘッダー
| 名前 | 型 | 説明 |
|---|---|---|
| Authorization | String | ベアラー {token}。 必須 |
要求本文
なし。
応答
成功した場合、このメソッドは 200 OK、 と 応答本文の インシデント の一覧を返します。
スキーマ マッピング
インシデント メタデータ
| フィールド名 | 説明 | 値の例 |
|---|---|---|
| incidentId | インシデントを表す一意の識別子 | 924565 |
| redirectIncidentId | インシデント処理ロジックの一部として、インシデントが別のインシデントとグループ化されている場合にのみ設定されます。 | 924569 |
| incidentName | すべてのインシデントで使用できる文字列値。 | ランサムウェアのアクティビティ |
| createdTime | インシデントが最初に作成された時刻。 | 2020-09-06T14:46:57.073333Z |
| lastUpdateTime | バックエンドでインシデントが最後に更新された時刻。 このフィールドは、インシデントが取得される時間の範囲に対して要求パラメーターを設定するときに使用できます。 |
2020-09-06T14:46:57.29Z |
| assignedTo | インシデントの所有者。所有者が割り当てられていない場合は null 。 | secop2@contoso.com |
| classification | インシデントの仕様。 プロパティの値は、Unknown、FalsePositive、TruePositive です。 | 不明 |
| 決定 | インシデントの決定を指定します。 プロパティの値は、 NotAvailable、 Apt、 Malware、 SecurityPersonnel、 SecurityTesting、 UnwantedSoftware、 Other | NotAvailable |
| detectionSource | 検出元を指定します。 | Defender for Cloud Apps |
| status | インシデントを分類します ( [アクティブ] または [解決済み])。 インシデントへの対応を整理して管理するのに役立ちます。 | アクティブ |
| severity | 資産に与える可能性のある影響を示します。 重大度が高いほど、影響が大きくなります。 通常、重大度が高い項目では、最も早い注意が必要です。 次のいずれかの値: Informational、 Low、*Medium、 High。 |
中 |
| tags | インシデントに関連付けられたカスタム タグの配列。たとえば、一般的な特性を持つインシデントのグループにフラグを設定します。 | [] |
| comments | インシデントを管理するときに secops によって作成されたコメントの配列 (分類の選択に関する追加情報など)。 | [] |
| アラート | インシデントに関連するすべてのアラートと、重大度、アラートに関与したエンティティ、アラートのソースなどのその他の情報を含む配列。 | [] (以下のアラート フィールドの詳細を参照) |
アラート メタデータ
| フィールド名 | 説明 | 値の例 |
|---|---|---|
| alertId | アラートを表す一意の識別子 | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| incidentId | このアラートが関連付けられているインシデントを表す一意の識別子 | 924565 |
| serviceSource | Microsoft Defender for Endpoint、Microsoft Defender for Cloud Apps、Microsoft Defender for Identity、など、アラートが発生するサービスMicrosoft Defender for Office 365。 | MicrosoftCloudAppSecurity |
| creationTime | アラートが最初に作成された時刻。 | 2020-09-06T14:46:55.7182276Z |
| lastUpdatedTime | バックエンドでアラートが最後に更新された時刻。 | 2020-09-06T14:46:57.2433333Z |
| resolvedTime | アラートが解決された時刻。 | 2020-09-10T05:22:59Z |
| firstActivity | アクティビティがバックエンドで更新されたことをアラートが最初に報告した時刻。 | 2020-09-04T05:22:59Z |
| title | 各アラートで使用できる文字列値を簡単に識別します。 | ランサムウェアのアクティビティ |
| 説明 | 各アラートを記述する文字列値。 | ユーザーのテスト User2 (testUser2@contoso.com) は、複数の拡張子を持つ 99 ファイルを操作し、一般的でない拡張子 herunterladen で終わった。 これは通常とは異なる数のファイル操作であり、ランサムウェア攻撃の可能性を示しています。 |
| category | キル チェーンに沿って攻撃が進行した距離を視覚的および数値的に表示します。 MITRE ATT&CK™ フレームワークに合わせて調整されます。 | 影響 |
| status | アラートを分類します ( 新規、 アクティブ、または 解決済み)。 アラートへの応答を整理して管理するのに役立ちます。 | 新規 |
| severity | 資産に与える可能性のある影響を示します。 重大度が高いほど、影響が大きくなります。 通常、重大度が高い項目では、最も早い注意が必要です。 次のいずれかの値: Informational、 Low、 Medium、 High。 |
中 |
| investigationId | このアラートによってトリガーされる自動調査 ID。 | 1234 |
| investigationState | 調査の現在の状態に関する情報。 次のいずれかの値: Unknown、Terminated、SuccessfullyRemediated、Benign、Failed、PartiallyRemediated、Running、PendingApproval、PendingResource、PartiallyInvestigated、TerminatedByUser、TerminatedBySystem、Queued、InnerFailure、PreexistingAlert、UnsupportedOs、UnsupportedAlertType、 SuppressedAlert。 | UnsupportedAlertType |
| classification | インシデントの仕様。 プロパティの値は、Unknown、FalsePositive、TruePositive、または null です。 | 不明 |
| 決定 | インシデントの決定を指定します。 プロパティの値は、NotAvailable、Apt、Malware、SecurityPersonnel、SecurityTesting、UnwantedSoftware、Other または null です。 | Apt |
| assignedTo | インシデントの所有者。所有者が割り当てられていない場合は null 。 | secop2@contoso.com |
| actorName | このアラートに関連付けられているアクティビティ グループ (存在する場合)。 | ホウ素 |
| threatFamilyName | このアラートに関連付けられている脅威ファミリ。 | null |
| mitreTechniques | 攻撃手法は、 MITRE ATT&CK™ フレームワークに合わせて調整されています。 | [] |
| デバイス | インシデントに関連するアラートが送信されたすべてのデバイス。 | [] (以下のエンティティ フィールドの詳細を参照) |
デバイスの形式
| フィールド名 | 説明 | 値の例 |
|---|---|---|
| DeviceId | Microsoft Defender for Endpointで指定されているデバイス ID。 | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
| aadDeviceId | Microsoft Entra IDで指定されているデバイス ID。 ドメインに参加しているデバイスでのみ使用できます。 | null |
| deviceDnsName | デバイスの完全修飾ドメイン名。 | user5cx.middleeast.corp.contoso.com |
| osPlatform | デバイスが実行されている OS プラットフォーム。 | WindowsServer2016 |
| osBuild | デバイスが実行されている OS のビルド バージョン。 | 14393 |
| rbacGroupName | デバイスに関連付けられている ロールベースのアクセス制御 (RBAC) グループ。 | WDATP-Ring0 |
| firstSeen | デバイスが最初に表示された時刻。 | 2020-02-06T14:16:01.9330135Z |
| healthStatus | デバイスの正常性状態。 | アクティブ |
| riskScore | デバイスのリスク スコア。 | 高 |
| エンティティ | 特定のアラートの一部または関連として識別されたすべてのエンティティ。 | [] (以下のエンティティ フィールドの詳細を参照) |
エンティティ形式
| フィールド名 | 説明 | 値の例 |
|---|---|---|
| Entitytype | 特定のアラートの一部または関連として識別されたエンティティ。 プロパティの値は、User、Ip、Url、File、Process、MailBox、MailMessage、MailCluster、Registry です。 |
User |
| sha1 | entityType が File の場合に使用できます。 ファイルまたはプロセスに関連付けられているアラートのファイル ハッシュ。 |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
| sha256 | entityType が File の場合に使用できます。 ファイルまたはプロセスに関連付けられているアラートのファイル ハッシュ。 |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| fileName | entityType が File の場合に使用できます。 ファイルまたはプロセスに関連付けられているアラートのファイル名 |
Detector.UnitTests.dll |
| Filepath | entityType が File の場合に使用できます。 ファイルまたはプロセスに関連付けられているアラートのファイル パス |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| processId | entityType が Process の場合に使用できます。 | 24348 |
| processCommandLine | entityType が Process の場合に使用できます。 | "ファイルを Download_1911150169.exe する準備ができました" |
| processCreationTime | entityType が Process の場合に使用できます。 | 2020-07-18T03:25:38.5269993Z |
| parentProcessId | entityType が Process の場合に使用できます。 | 16840 |
| parentProcessCreationTime | entityType が Process の場合に使用できます。 | 2020-07-18T02:12:32.8616797Z |
| ipAddress | entityType が Ip の場合に使用できます。 ネットワーク イベントに関連付けられたアラートの IP アドレス ( 悪意のあるネットワーク宛先への通信など)。 |
62.216.203.204 |
| url | entityType が Url の場合に使用できます。 悪意のあるネットワーク宛先への通信など、ネットワーク イベントに関連付けられたアラートの URL。 |
down.esales360.cn |
| accountName | entityType が User の場合に使用できます。 | testUser2 |
| domainName | entityType が User の場合に使用できます。 | europe.corp.contoso |
| userSid | entityType が User の場合に使用できます。 | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| aadUserId | entityType が User の場合に使用できます。 | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| userPrincipalName | entityType が User/MailBox/MailMessage の場合に使用できます。 | testUser2@contoso.com |
| mailboxDisplayName | entityType が MailBox の場合に使用できます。 | User2 をテストする |
| mailboxAddress | entityType が User/MailBox/MailMessage の場合に使用できます。 | testUser2@contoso.com |
| clusterBy | entityType が MailCluster の場合に使用できます。 | 件名;P2SenderDomain;Contenttype |
| sender | entityType が User/MailBox/MailMessage の場合に使用できます。 | user.abc@mail.contoso.co.in |
| 受信者 | entityType が MailMessage の場合に使用できます。 | testUser2@contoso.com |
| subject | entityType が MailMessage の場合に使用できます。 | [EXTERNAL]注意 |
| deliveryAction | entityType が MailMessage の場合に使用できます。 | 配信済み |
| securityGroupId | entityType が SecurityGroup の場合に使用できます。 | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| securityGroupName | entityType が SecurityGroup の場合に使用できます。 | ネットワーク構成オペレーター |
| registryHive | entityType が Registry の場合に使用できます。 | HKEY_LOCAL_MACHINE |
| Registrykey | entityType が Registry の場合に使用できます。 | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| registryValueType | entityType が Registry の場合に使用できます。 | String |
| registryValue | entityType が Registry の場合に使用できます。 | 31-00-00-00 |
| deviceId | エンティティに関連するデバイスの ID (存在する場合)。 | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
例
要求の例
GET https://api.security.microsoft.com/api/incidents
応答の例
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。