Udostępnij za pośrednictwem


Interfejs API przesyłania lub aktualizowania wskaźnika

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.

Porada

Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Opis interfejsu API

Przesyła lub Aktualizacje nową jednostkę Wskaźnik.

Notacja CIDR dla adresów IP nie jest obsługiwana.

Ograniczenia

  1. Ograniczenia szybkości dla tego interfejsu API to 100 wywołań na minutę i 1500 wywołań na godzinę.
  2. Istnieje limit 15 000 aktywnych wskaźników na dzierżawę.

Uprawnienia

Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Wprowadzenie.

Typ uprawnień Uprawnienie Nazwa wyświetlana uprawnień
Aplikacja Ti.ReadWrite Read and write Indicators
Aplikacja Ti.ReadWrite.All Read and write All Indicators
Delegowane (konto służbowe) Ti.ReadWrite Read and write Indicators

Żądanie HTTP

POST https://api.securitycenter.microsoft.com/api/indicators

Nagłówki żądań

Name (Nazwa) Wpisać Opis
Autoryzacja Ciąg Element nośny {token}. Wymagane.
Typ zawartości ciąg application/json. Wymagane.

Treść żądania

W treści żądania podaj obiekt JSON z następującymi parametrami:

Parametr Wpisać Opis
indicatorValue Ciąg Tożsamość jednostki Wskaźnik . Wymagany
indicatorType Wyliczenie Typ wskaźnika. Możliwe wartości to: , , , , , , DomainNamei Url. IpAddressFileSha256CertificateThumbprintFileMd5FileSha1 Wymagany
akcja Wyliczenie Akcja wykonywana w przypadku wykrycia wskaźnika w organizacji. Możliwe wartości to: , , , , , , AlertAndBlocki Allowed. BlockAndRemediateAuditBlockWarnAlert Wymagane. Parametr GenerateAlert musi być ustawiony na wartość TRUE podczas tworzenia akcji za pomocą Auditpolecenia .
aplikacja Ciąg Aplikacja skojarzona ze wskaźnikiem. To pole działa tylko w przypadku nowych wskaźników. Nie aktualizuje ona wartości istniejącego wskaźnika. Fakultatywny
tytuł Ciąg Tytuł alertu wskaźnika. Wymagany
opis Ciąg Opis wskaźnika. Wymagany
expirationTime DateTimeOffset Czas wygaśnięcia wskaźnika. Fakultatywny
dotkliwość Wyliczenie Ważność wskaźnika. Możliwe wartości to: Informational, Low, Medium, i High. Fakultatywny
recommendedActions Ciąg Zalecane akcje alertu wskaźnika TI. Fakultatywny
rbacGroupNames Ciąg Rozdzielana przecinkami lista nazw grup RBAC, do których wskaźnik zostanie zastosowany. Fakultatywny
educateUrl Ciąg Niestandardowy adres URL powiadomień/pomocy technicznej. Obsługiwane w przypadku typów akcji Blokuj i Ostrzegaj dla wskaźników adresu URL. Fakultatywny
generateAlert Wyliczenie Prawda , jeśli generowanie alertu jest wymagane, wartość False , jeśli ten wskaźnik nie powinien generować alertu.

Odpowiedź

  • Jeśli to się powiedzie, ta metoda zwraca kod odpowiedzi 200 — OK i utworzoną /zaktualizowaną jednostkę Indicator w treści odpowiedzi.
  • Jeśli nie powiedzie się: ta metoda zwraca wartość 400 — nieprawidłowe żądanie. Nieprawidłowe żądanie zwykle wskazuje nieprawidłową treść.

Przykład

Prosić

Oto przykład żądania.

POST https://api.securitycenter.microsoft.com/api/indicators
{
    "indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
    "indicatorType": "FileSha1",
    "title": "test",
    "application": "demo-test",
    "expirationTime": "2020-12-12T00:00:00Z",
    "action": "AlertAndBlock",
    "severity": "Informational",
    "description": "test",
    "recommendedActions": "nothing",
    "rbacGroupNames": ["group1", "group2"]
}

Powiązany artykuł

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.