Interfejs API zdarzeń listy w Microsoft Defender XDR
Dotyczy:
Uwaga
Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Opis interfejsu API
Interfejs API zdarzeń listy umożliwia sortowanie zdarzeń w celu utworzenia świadomej reakcji na cyberbezpieczeństwo. Uwidacznia kolekcję zdarzeń, które zostały oflagowane w sieci w zakresie czasu określonym w zasadach przechowywania środowiska. Najnowsze zdarzenia są wyświetlane w górnej części listy. Każde zdarzenie zawiera tablicę powiązanych alertów i powiązane z nimi jednostki.
Interfejs API obsługuje następujące operatory OData :
-
$filterna właściwościachlastUpdateTime,createdTime,statusiassignedTo -
$top, z maksymalną wartością 100 $skip
Ograniczenia
- Maksymalny rozmiar strony to 100 zdarzeń.
- Maksymalna liczba żądań to 50 wywołań na minutę i 1500 wywołań na godzinę.
Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Access Microsoft Defender XDR APIs (Dostęp do interfejsów API Microsoft Defender XDR)
| Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
|---|---|---|
| Aplikacja | Incident.Read.All | Odczytywanie wszystkich zdarzeń |
| Aplikacja | Incident.ReadWrite.All | Odczytywanie i zapisywanie wszystkich zdarzeń |
| Delegowane (konto służbowe) | Incident.Read | Odczytywanie zdarzeń |
| Delegowane (konto służbowe) | Incident.ReadWrite | Odczytywanie i zapisywanie zdarzeń |
Uwaga
Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika:
- Użytkownik musi mieć uprawnienia do wyświetlania zdarzeń w portalu.
- Odpowiedź będzie obejmować tylko zdarzenia, na które użytkownik jest narażony.
Żądanie HTTP
GET /api/incidents
Nagłówki żądań
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Autoryzacji | Ciąg | Element nośny {token}. Wymagany |
Treść żądania
Brak.
Odpowiedzi
W przypadku powodzenia ta metoda zwraca 200 OKwartość i listę zdarzeń w treści odpowiedzi.
Mapowanie schematu
Metadane zdarzenia
| Nazwa pola | Opis | Przykładowa wartość |
|---|---|---|
| incidentId | Unikatowy identyfikator reprezentujący zdarzenie | 924565 |
| redirectIncidentId | Wypełniane tylko w przypadku zgrupowania zdarzenia razem z innym zdarzeniem w ramach logiki przetwarzania zdarzeń. | 924569 |
| incidentName | Wartość ciągu dostępna dla każdego zdarzenia. | Działanie wymuszające okup |
| createdTime | Czas utworzenia zdarzenia po raz pierwszy. | 2020-09-06T14:46:57.0733333Z |
| lastUpdateTime | Czas ostatniej aktualizacji zdarzenia na zapleczu. To pole może być używane podczas ustawiania parametru żądania dla zakresu czasu pobierania zdarzeń. |
2020-09-06T14:46:57.29Z |
| Assignedto | Właściciel zdarzenia lub wartość null , jeśli nie przypisano właściciela. | secop2@contoso.com |
| Klasyfikacji | Specyfikacja zdarzenia. Wartości właściwości to: Unknown, FalsePositive, TruePositive | Unknown |
| Oznaczanie | Określa określenie zdarzenia. Wartości właściwości to: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | NotAvailable |
| detectionSource | Określa źródło wykrywania. | Defender for Cloud Apps |
| Stan | Kategoryzuj zdarzenia (jako aktywne lub rozwiązane). Może pomóc w organizowaniu i zarządzaniu reagowaniem na zdarzenia. | Aktywny |
| Ważności | Wskazuje możliwy wpływ na zasoby. Im większa ważność, tym większy wpływ. Zazwyczaj elementy o wyższej ważności wymagają natychmiastowej uwagi. Jedna z następujących wartości: Informacyjna, Niska, *Średnia i Wysoka. |
Średnie |
| Tagi | Tablica tagów niestandardowych skojarzonych ze zdarzeniem, na przykład do oznaczania grupy zdarzeń o wspólnej cechie. | [] |
| Komentarze | Tablica komentarzy utworzonych przez secops podczas zarządzania incydentem, na przykład dodatkowe informacje o wyborze klasyfikacji. | [] |
| Alerty | Tablica zawierająca wszystkie alerty związane ze zdarzeniem oraz inne informacje, takie jak ważność, jednostki biorące udział w alertie i źródło alertów. | [] (zobacz szczegóły pól alertów poniżej) |
Metadane alertów
| Nazwa pola | Opis | Przykładowa wartość |
|---|---|---|
| alertId | Unikatowy identyfikator reprezentujący alert | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| incidentId | Unikatowy identyfikator reprezentujący zdarzenie, z którą jest skojarzony ten alert | 924565 |
| serviceSource | Usługa, z którego pochodzi alert, na przykład Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender for Cloud Apps, Microsoft Defender for Identity lub Ochrona usługi Office 365 w usłudze Microsoft Defender. | MicrosoftCloudAppSecurity |
| creationTime | Czas utworzenia alertu po raz pierwszy. | 2020-09-06T14:46:55.7182276Z |
| lastUpdatedTime | Czas ostatniej aktualizacji alertu w zapleczu. | 2020-09-06T14:46:57.2433333Z |
| resolvedTime | Czas, kiedy alert został rozwiązany. | 2020-09-10T05:22:59Z |
| firstActivity | Czas, kiedy alert po raz pierwszy zgłosił, że działanie zostało zaktualizowane w zapleczu. | 2020-09-04T05:22:59Z |
| Tytuł | Krótkie identyfikowanie wartości ciągu dostępnej dla każdego alertu. | Działanie wymuszające okup |
| Opis | Wartość ciągu opisująca każdy alert. | Użytkownik Test User2 (testUser2@contoso.com) manipulował 99 plikami z wieloma rozszerzeniami kończącymi się nietypowym rozszerzeniem herunterladen. Jest to niezwykła liczba manipulacji plikami i wskazuje na potencjalny atak ransomware. |
| Kategorii | Wizualny i liczbowy widok tego, jak daleko atak posunął się wzdłuż łańcucha zabijania. Dopasowane do struktury MITRE ATT&CK™. | Wpływ |
| Stan | Kategoryzuj alerty (jako Nowe, Aktywne lub Rozwiązane). Może pomóc w organizowaniu odpowiedzi na alerty i zarządzaniu nią. | Nowy |
| Ważności | Wskazuje możliwy wpływ na zasoby. Im większa ważność, tym większy wpływ. Zazwyczaj elementy o wyższej ważności wymagają natychmiastowej uwagi. Jedna z następujących wartości: Informacyjna, Niska, Średnia i Wysoka. |
Średnie |
| investigationId | Identyfikator zautomatyzowanego badania wyzwolony przez ten alert. | 1234 |
| investigationState | Informacje na temat bieżącego stanu badania. Jedna z następujących wartości: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | NieobsługiwanyAlertType |
| Klasyfikacji | Specyfikacja zdarzenia. Wartości właściwości to: Unknown, FalsePositive, TruePositive lub null | Unknown |
| Oznaczanie | Określa określenie zdarzenia. Wartości właściwości to: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other lub null | Apt |
| Assignedto | Właściciel zdarzenia lub wartość null , jeśli nie przypisano właściciela. | secop2@contoso.com |
| actorName | Grupa działań, jeśli istnieje, skojarzona z tym alertem. | BORU |
| threatFamilyName | Rodzina zagrożeń skojarzona z tym alertem. | Null |
| mitreTechniques | Techniki ataku zgodne z platformą MITRE ATT&CK™. | [] |
| Urządzeń | Wszystkie urządzenia, na których wysłano alerty związane ze zdarzeniem. | [] (zobacz szczegóły pól jednostki poniżej) |
Format urządzenia
| Nazwa pola | Opis | Przykładowa wartość |
|---|---|---|
| Deviceid | Identyfikator urządzenia określony w Ochrona punktu końcowego w usłudze Microsoft Defender. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
| aadDeviceId | Identyfikator urządzenia określony w Tożsamość Microsoft Entra. Dostępne tylko dla urządzeń przyłączonych do domeny. | Null |
| deviceDnsName | W pełni kwalifikowana nazwa domeny urządzenia. | user5cx.middleeast.corp.contoso.com |
| osPlatform | Platforma systemu operacyjnego uruchomiona na urządzeniu. | WindowsServer2016 |
| osBuild | Wersja kompilacji systemu operacyjnego, na których działa urządzenie. | 14393 |
| rbacGroupName | Grupa kontroli dostępu opartej na rolach (RBAC) skojarzona z urządzeniem. | WDATP-Ring0 |
| firstSeen | Czas, kiedy urządzenie było widoczne po raz pierwszy. | 2020-02-06T14:16:01.9330135Z |
| healthStatus | Stan kondycji urządzenia. | Aktywny |
| riskScore | Ocena ryzyka dla urządzenia. | High (Wysoki) |
| Podmioty | Wszystkie jednostki, które zostały zidentyfikowane jako część danego alertu lub z nimi powiązane. | [] (zobacz szczegóły pól jednostki poniżej) |
Format jednostki
| Nazwa pola | Opis | Przykładowa wartość |
|---|---|---|
| Entitytype | Jednostki, które zostały zidentyfikowane jako część danego alertu lub z nimi powiązane. Wartości właściwości to: User, Ip, Url, File, Process, MailBox, MailMessage, MailCluster, Registry |
Użytkownik |
| sha1 | Dostępne, jeśli entityType to Plik. Skrót pliku dla alertów skojarzonych z plikiem lub procesem. |
5de839186691a96ee2ca6d74f0a38fb8d1bd6dd |
| sha256 | Dostępne, jeśli entityType to Plik. Skrót pliku dla alertów skojarzonych z plikiem lub procesem. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| Pod nazwą | Dostępne, jeśli entityType to Plik. Nazwa pliku alertów skojarzonych z plikiem lub procesem |
Detector.UnitTests.dll |
| Filepath | Dostępne, jeśli entityType to Plik. Ścieżka pliku dla alertów skojarzonych z plikiem lub procesem |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| Processid | Dostępne, jeśli typ jednostki to Proces. | 24348 |
| processCommandLine | Dostępne, jeśli typ jednostki to Proces. | "Plik jest gotowy do Download_1911150169.exe" |
| processCreationTime | Dostępne, jeśli typ jednostki to Proces. | 2020-07-18T03:25:38.5269993Z |
| parentProcessId | Dostępne, jeśli typ jednostki to Proces. | 16840 |
| parentProcessCreationTime | Dostępne, jeśli typ jednostki to Proces. | 2020-07-18T02:12:32.8616797Z |
| Ipaddress | Dostępne, jeśli typ jednostki to Ip. Adres IP dla alertów skojarzonych ze zdarzeniami sieciowymi, takich jak komunikacja ze złośliwym miejscem docelowym sieci. |
62.216.203.204 |
| Adres url | Dostępne, jeśli typ jednostki to adres URL. Adres URL alertów skojarzonych ze zdarzeniami sieciowymi, takich jak Komunikacja ze złośliwym miejscem docelowym sieci. |
down.esales360.cn |
| Accountname | Dostępne, jeśli entityType to Użytkownik. | testUser2 |
| Nazwa_domeny | Dostępne, jeśli entityType to Użytkownik. | europe.corp.contoso |
| userSid | Dostępne, jeśli entityType to Użytkownik. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| aadUserId | Dostępne, jeśli entityType to Użytkownik. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| Userprincipalname | Dostępne, jeśli entityType to User/MailBox/MailMessage. | testUser2@contoso.com |
| mailboxDisplayName | Dostępne, jeśli typ jednostki to Skrzynka pocztowa. | testowanie użytkownika 2 |
| skrzynka pocztowaAddress | Dostępne, jeśli entityType to User/MailBox/MailMessage. | testUser2@contoso.com |
| clusterBy | Dostępne, jeśli entityType to MailCluster. | Temat; P2SenderDomain; Contenttype |
| Nadawcy | Dostępne, jeśli entityType to User/MailBox/MailMessage. | user.abc@mail.contoso.co.in |
| Odbiorcy | Dostępne, jeśli entityType to MailMessage. | testUser2@contoso.com |
| Temat | Dostępne, jeśli entityType to MailMessage. | [EXTERNAL] Uwagę |
| deliveryAction | Dostępne, jeśli entityType to MailMessage. | Dostarczane |
| securityGroupId | Dostępne, jeśli typ jednostki to SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| securityGroupName | Dostępne, jeśli typ jednostki to SecurityGroup. | Operatory konfiguracji sieci |
| Registryhive | Dostępne, jeśli entityType to Rejestr. | HKEY_LOCAL_MACHINE |
| Registrykey | Dostępne, jeśli entityType to Rejestr. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| registryValueType | Dostępne, jeśli entityType to Rejestr. | Ciąg |
| registryValue | Dostępne, jeśli entityType to Rejestr. | 31-00-00-00 |
| Deviceid | Identyfikator urządzenia powiązanego z jednostką, jeśli istnieje. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
Przykład
Przykład żądania
GET https://api.security.microsoft.com/api/incidents
Przykład odpowiedzi
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Artykuły pokrewne
Uzyskiwanie dostępu do interfejsów API Microsoft Defender XDR
Dowiedz się więcej o limitach interfejsu API i licencjonowaniu
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.