Submeter ou Atualizar API de Indicador
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Observação
Se for um cliente do Governo norte-americano, utilize os URIs listados no Microsoft Defender para Ponto de Extremidade para clientes do Us Government.
Dica
Para um melhor desempenho, pode utilizar o servidor mais próximo da localização geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Descrição da API
Submete ou Atualizações nova entidade Indicador.
A notação CIDR para IPs não é suportada.
Limitações
- As limitações de taxa para esta API são 100 chamadas por minuto e 1500 chamadas por hora.
- Existe um limite de 15 000 indicadores ativos por inquilino.
Permissões
Uma das seguintes permissões é necessária para chamar esta API. Para saber mais, incluindo como escolher permissões, consulte Introdução.
| Tipo de permissão | Permissão | Nome a apresentar da permissão |
|---|---|---|
| Application | Ti.ReadWrite | Read and write Indicators |
| Application | Ti.ReadWrite.All | Read and write All Indicators |
| Delegado (conta corporativa ou de estudante) | Ti.ReadWrite | Read and write Indicators |
Solicitação HTTP
POST https://api.securitycenter.microsoft.com/api/indicators
Cabeçalhos de solicitação
| Nome | Tipo | Descrição |
|---|---|---|
| Autorização | Cadeia de caracteres | {token} de portador. Obrigatório. |
| Content-Type | string | application/json. Obrigatório. |
Corpo da solicitação
No corpo do pedido, forneça um objeto JSON com os seguintes parâmetros:
| Parâmetro | Tipo | Descrição |
|---|---|---|
| indicatorValue | Cadeia de caracteres | Identidade da entidade Indicador . Required |
| indicatorType | Enum | Tipo do indicador. Os valores possíveis são: FileSha1, , FileMd5CertificateThumbprint, FileSha256, , IpAddress, DomainNamee Url.
Required |
| ação | Enum | A ação que é efetuada se o indicador for detetado na organização. Os valores possíveis são: Alert, , WarnBlock, Audit, , BlockAndRemediate, AlertAndBlocke Allowed.
Obrigatório. O GenerateAlert parâmetro tem de ser definido como ao TRUE criar uma ação com Audit. |
| aplicação | Cadeia de caracteres | A aplicação associada ao indicador. Este campo só funciona para novos indicadores. Não atualiza o valor num indicador existente. Opcional |
| title | Cadeia de caracteres | Título do alerta de indicador. Required |
| description | Cadeia de caracteres | Descrição do indicador. Required |
| expirationTime | DateTimeOffset | O tempo de expiração do indicador. Opcional |
| severity | Enum | A gravidade do indicador. Os valores possíveis são: Informational, Low, Medium, e High.
Opcional |
| recommendedActions | Cadeia de caracteres | Ações recomendadas do alerta do indicador TI. Opcional |
| rbacGroupNames | Cadeia de caracteres | Lista separada por vírgulas de nomes de grupos RBAC aos qual o indicador seria aplicado. Opcional |
| educateUrl | Cadeia de caracteres | URL de notificação/suporte personalizado. Suportado para tipos de ação Bloquear e Avisar para indicadores de URL. Opcional |
| generateAlert | Enum | Verdadeiro se a geração de alertas for necessária, Falso se este indicador não quiser gerar um alerta. |
Resposta
- Se for bem-sucedido, este método devolve o código de resposta 200 - OK e a entidade indicadora criada/atualizada no corpo da resposta.
- Se não for bem-sucedido: este método devolve 400 – Pedido Incorreto. Normalmente, o pedido incorreto indica um corpo incorreto.
Exemplo
Solicitação
Eis um exemplo do pedido.
POST https://api.securitycenter.microsoft.com/api/indicators
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "test",
"application": "demo-test",
"expirationTime": "2020-12-12T00:00:00Z",
"action": "AlertAndBlock",
"severity": "Informational",
"description": "test",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
}
Artigo relacionado
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.