Vis hendelses-API i Microsoft Defender XDR
Gjelder for:
Obs!
Prøv våre nye API-er ved hjelp av MS Graph Security API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph | Microsoft Learn.
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
API-beskrivelse
Med API-en for listehendelser kan du sortere gjennom hendelser for å opprette en informert respons på cybersikkerhet. Den viser en samling hendelser som ble flagget i nettverket, innenfor tidsintervallet du angav i miljøoppbevaringspolicyen. De siste hendelsene vises øverst på listen. Hver hendelse inneholder en matrise med relaterte varsler og tilhørende enheter.
API-en støtter følgende OData-operatorer :
-
$filterlastUpdateTimepå ,createdTime,statusogassignedToegenskapene -
$top, med en maksimumsverdi på 100 $skip
Begrensninger
- Maksimal sidestørrelse er 100 hendelser.
- Maksimal antall forespørsler er 50 anrop per minutt og 1500 anrop per time.
Tillatelser
Én av følgende tillatelser er nødvendig for å kalle opp denne API-en. Hvis du vil ha mer informasjon, inkludert hvordan du velger tillatelser, kan du se Access Microsoft Defender XDR API-er
| Tillatelsestype | Tillatelse | Visningsnavn for tillatelse |
|---|---|---|
| Program | Incident.Read.All | Les alle hendelser |
| Program | Incident.ReadWrite.All | Lese og skrive alle hendelser |
| Delegert (jobb- eller skolekonto) | Hendelse.Lest | Les hendelser |
| Delegert (jobb- eller skolekonto) | Incident.ReadWrite | Lese og skrive hendelser |
Obs!
Når du skaffer et token ved hjelp av brukerlegitimasjon:
- Brukeren må ha visningstillatelse for hendelser i portalen.
- Svaret vil bare omfatte hendelser som brukeren er utsatt for.
HTTP-forespørsel
GET /api/incidents
Forespørselshoder
| Navn | Type: | Beskrivelse |
|---|---|---|
| Authorization | Streng | Bærer {token}. Obligatorisk |
Forespørselstekst
Ingen.
Svar
Hvis vellykket, returnerer 200 OKdenne metoden , og en liste over hendelser i svarteksten.
Skjematilordning
Hendelsesmetadata
| Feltnavn | Beskrivelse | Eksempelverdi |
|---|---|---|
| incidentId | Unik identifikator for å representere hendelsen | 924565 |
| redirectIncidentId | Bare fylt ut i tilfelle en hendelse blir gruppert sammen med en annen hendelse, som en del av hendelsesbehandlingslogikken. | 924569 |
| incidentName | Strengverdi tilgjengelig for hver hendelse. | Løsepengevirusaktivitet |
| createdTime | Tidspunktet da hendelsen først ble opprettet. | 2020-09-06T14:46:57.0733333Z |
| lastUpdateTime | Tidspunktet da hendelsen sist ble oppdatert på serverdel. Dette feltet kan brukes når du angir forespørselsparameteren for tidsintervallet som hendelser hentes fra. |
2020-09-06T14:46:57.29Z |
| Tilordnettil | Eier av hendelsen, eller null hvis ingen eier er tilordnet. | secop2@contoso.com |
| Klassifisering | Spesifikasjonen for hendelsen. Egenskapsverdiene er: Unknown, FalsePositive, TruePositive | Ukjent |
| Besluttsomhet | Angir avgjørelsen av hendelsen. Egenskapsverdiene er: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | Ikke tilgjengelig |
| detectionSource | Angir kilden til gjenkjenning. | Defender for skyapper |
| Status | Kategorisere hendelser (som aktive eller løste). Det kan hjelpe deg med å organisere og administrere svar på hendelser. | Aktiv |
| Alvorlighetsgraden | Angir mulig innvirkning på aktiva. Jo høyere alvorlighetsgrad, jo større innvirkning. Vanligvis krever elementer med høyere alvorlighetsgrad den mest umiddelbare oppmerksomheten. Én av følgende verdier: Informasjon, Lav, *Middels og Høy. |
Middels |
| Tags | Matrise med egendefinerte koder som er knyttet til en hendelse, for eksempel for å flagge en gruppe hendelser med en felles egenskap. | [] |
| Kommentarer | Matrise med kommentarer som opprettes av kopier når du administrerer hendelsen, for eksempel tilleggsinformasjon om klassifiseringsvalget. | [] |
| Varsler | Matrise som inneholder alle varslene som er relatert til hendelsen, pluss annen informasjon, for eksempel alvorsgrad, enheter som var involvert i varselet, og kilden til varslene. | [] (se detaljer om varslingsfelt nedenfor) |
Metadata for varsler
| Feltnavn | Beskrivelse | Eksempelverdi |
|---|---|---|
| alertId | Unik identifikator for å representere varselet | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| incidentId | Unik identifikator for å representere hendelsen dette varselet er knyttet til | 924565 |
| serviceSource | Tjeneste som varselet kommer fra, for eksempel Microsoft Defender for endepunkt, Microsoft Defender for Cloud Apps, Microsoft Defender for identitet eller Microsoft Defender for Office 365. | MicrosoftCloudAppSecurity |
| creationTime | Tidspunktet da varselet først ble opprettet. | 2020-09-06T14:46:55.7182276Z |
| lastUpdatedTime | Tidspunktet da varselet sist ble oppdatert på serverdel. | 2020-09-06T14:46:57.2433333Z |
| resolvedTime | Tidspunktet da varselet ble løst. | 2020-09-10T05:22:59Z |
| firstActivity | Tidspunktet da varselet først rapporterte at aktiviteten ble oppdatert på serverdelen. | 2020-09-04T05:22:59Z |
| Tittel | Kort identifiseringsstrengverdi som er tilgjengelig for hvert varsel. | Løsepengevirusaktivitet |
| Beskrivelse | Strengverdi som beskriver hvert varsel. | Brukeren Test User2 (testUser2@contoso.com) manipulerte 99 filer med flere utvidelser som slutter med den uvanlige filtypen herunterladen. Dette er et uvanlig antall filmanipuleringer og indikerer et potensielt ransomware-angrep. |
| Kategori | Visuell og numerisk visning av hvor langt angrepet har utviklet seg langs kill-kjeden. Justert til MITRE ATT&CK-rammeverket™. | Innvirkning |
| Status | Kategoriser varsler (som Ny, Aktiv eller Løst). Det kan hjelpe deg med å organisere og administrere svaret på varsler. | Nye |
| Alvorlighetsgraden | Angir mulig innvirkning på aktiva. Jo høyere alvorlighetsgrad, jo større innvirkning. Vanligvis krever elementer med høyere alvorlighetsgrad den mest umiddelbare oppmerksomheten. Én av følgende verdier: Informasjon, Lav, Middels og Høy. |
Middels |
| investigationId | Den automatiserte undersøkelses-ID-en utløst av dette varselet. | 1234 |
| investigationState | Informasjon om undersøkelsens gjeldende status. Én av følgende verdier: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | Ikke støttetAlertType |
| Klassifisering | Spesifikasjonen for hendelsen. Egenskapsverdiene er: Ukjent, FalsePositive, TruePositive eller null | Ukjent |
| Besluttsomhet | Angir avgjørelsen av hendelsen. Egenskapsverdiene er: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other eller null | Apt |
| Tilordnettil | Eier av hendelsen, eller null hvis ingen eier er tilordnet. | secop2@contoso.com |
| actorName | Aktivitetsgruppen, hvis aktuelt, tilknyttet dette varselet. | BORON |
| threatFamilyName | Trusselfamilie knyttet til dette varselet. | null |
| mitreTechniques | Angrepsteknikkene, som er på linje med MITRE ATT&CK-rammeverket™. | [] |
| Enheter | Alle enheter der varsler knyttet til hendelsen ble sendt. | [] (se detaljer om enhetsfelt nedenfor) |
Enhetsformat
| Feltnavn | Beskrivelse | Eksempelverdi |
|---|---|---|
| Deviceid | Enhets-ID-en som er angitt i Microsoft Defender for endepunkt. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
| aadDeviceId | Enhets-ID-en som er angitt i Microsoft Entra ID. Bare tilgjengelig for domenetilføyde enheter. | null |
| deviceDnsName | Det fullstendige domenenavnet for enheten. | user5cx.middleeast.corp.contoso.com |
| osPlatform | OS-plattformen som enheten kjører. | WindowsServer2016 |
| osBuild | Byggversjonen for operativsystemet som enheten kjører. | 14393 |
| rbacGroupName | Den rollebaserte tilgangskontrollgruppen (RBAC) som er knyttet til enheten. | WDATP-Ring0 |
| firstSeen | Tidspunktet da enheten først ble sett. | 2020-02-06T14:16:01.9330135Z |
| healthStatus | Tilstanden til enheten. | Aktiv |
| riskScore | Risikoresultatet for enheten. | Høy |
| Enheter | Alle enheter som er identifisert som en del av eller er relatert til, et gitt varsel. | [] (se detaljer om enhetsfelt nedenfor) |
Enhetsformat
| Feltnavn | Beskrivelse | Eksempelverdi |
|---|---|---|
| entityType | Enheter som er identifisert som en del av, eller er relatert til, et gitt varsel. Egenskapsverdiene er: User, Ip, Url, File, Process, MailBox, MailMessage, MailCluster, Registry |
Bruker |
| sha1 | Tilgjengelig hvis entityType er Fil. Fil-hash-koden for varsler som er knyttet til en fil eller prosess. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
| sha256 | Tilgjengelig hvis entityType er Fil. Fil-hash-koden for varsler som er knyttet til en fil eller prosess. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| Filnavn | Tilgjengelig hvis entityType er Fil. Filnavnet for varsler som er knyttet til en fil eller prosess |
Detector.UnitTests.dll |
| filePath | Tilgjengelig hvis entityType er Fil. Filbanen for varsler som er knyttet til en fil eller prosess |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| processId | Tilgjengelig hvis entityType er Prosess. | 24348 |
| processCommandLine | Tilgjengelig hvis entityType er Prosess. | "Filen er klar til å Download_1911150169.exe" |
| processCreationTime | Tilgjengelig hvis entityType er Prosess. | 2020-07-18T03:25:38.5269993Z |
| parentProcessId | Tilgjengelig hvis entityType er Prosess. | 16840 |
| parentProcessCreationTime | Tilgjengelig hvis entityType er Prosess. | 2020-07-18T02:12:32.8616797Z |
| Ipaddress | Tilgjengelig hvis entityType er Ip. IP-adresse for varsler som er knyttet til nettverkshendelser, for eksempel kommunikasjon til et skadelig nettverksmål. |
62.216.203.204 |
| Url | Tilgjengelig hvis entityType er URL-adresse. Nettadresse for varsler som er knyttet til nettverkshendelser, for eksempel kommunikasjon til et skadelig nettverksmål. |
down.esales360.cn |
| accountName | Tilgjengelig hvis entityType er bruker. | testBruker2 |
| Domenenavn | Tilgjengelig hvis entityType er bruker. | europe.corp.contoso |
| userSid | Tilgjengelig hvis entityType er bruker. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| aadUserId | Tilgjengelig hvis entityType er bruker. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| userPrincipalName | Tilgjengelig hvis entityType erMailBox/MailMessage for bruker/. | testUser2@contoso.com |
| mailboxDisplayName | Tilgjengelig hvis entityType er MailBox. | testBruker2 |
| postboksadresse | Tilgjengelig hvis entityType erMailBox/MailMessage for bruker/. | testUser2@contoso.com |
| clusterBy | Tilgjengelig hvis entityType er MailCluster. | Emnet; P2SenderDomain; Contenttype |
| Avsenderen | Tilgjengelig hvis entityType erMailBox/MailMessage for bruker/. | user.abc@mail.contoso.co.in |
| Mottakeren | Tilgjengelig hvis entityType er MailMessage. | testUser2@contoso.com |
| Emnet | Tilgjengelig hvis entityType er MailMessage. | [EKSTERN] Oppmerksomhet |
| deliveryAction | Tilgjengelig hvis entityType er MailMessage. | Levert |
| securityGroupId | Tilgjengelig hvis entityType er SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| securityGroupName | Tilgjengelig hvis entityType er SecurityGroup. | Nettverkskonfigurasjonsoperatorer |
| registryHive | Tilgjengelig hvis entityType er Registry. | HKEY_LOCAL_MACHINE |
| registryKey | Tilgjengelig hvis entityType er Registry. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| registryValueType | Tilgjengelig hvis entityType er Registry. | Streng |
| registryValue | Tilgjengelig hvis entityType er Registry. | 31-00-00-00 |
| Deviceid | ID-en, hvis aktuelt, på enheten som er relatert til enheten. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
Eksempel
Eksempel på forespørsel
GET https://api.security.microsoft.com/api/incidents
Eksempel på svar
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Relaterte artikler
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.