API импорта индикаторов
Область применения:
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Примечание.
Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.
Совет
Для повышения производительности можно использовать сервер ближе к географическому расположению:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Описание API
Отправляет или Обновления пакет сущностей Индикатора.
Нотация CIDR для IP-адресов не поддерживается.
Ограничения
- Ограничения скорости для этого API — 30 вызовов в минуту.
- Существует ограничение в 15 000 активных индикаторов на клиент.
- Максимальный размер пакета для одного вызова API — 500.
Разрешения
Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Начало работы.
| Тип разрешения | Разрешение | Отображаемое имя разрешения |
|---|---|---|
| Приложение | Ti.ReadWrite | Read and write Indicators |
| Приложение | Ti.ReadWrite.All | Read and write All Indicators |
| Делегированные (рабочая или учебная учетная запись) | Ti.ReadWrite | Read and write Indicators |
HTTP-запрос
POST https://api.securitycenter.microsoft.com/api/indicators/import
Заголовки запросов
| Имя | Тип | Описание |
|---|---|---|
| Авторизация | String | Bearer {token}. Обязательное поле. |
| Content-Type | string | application/json. Обязательное поле. |
Текст запроса
В тексте запроса укажите объект JSON со следующими параметрами:
| Параметр | Тип | Описание |
|---|---|---|
| Индикаторы | Индикатор списка<> | Список индикаторов. Required |
Отклик
- В случае успешного выполнения этот метод возвращает код ответа 200 — ОК со списком результатов импорта для каждого индикатора, см. следующий пример.
- Если это не удалось: этот метод возвращает значение 400 — недопустимый запрос. Недопустимый запрос обычно указывает на неправильный текст.
Пример
Пример запроса
Ниже приведен пример запроса.
POST https://api.securitycenter.microsoft.com/api/indicators/import
{
"Indicators":
[
{
"indicatorValue": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"indicatorType": "FileSha1",
"title": "demo",
"application": "demo-test",
"expirationTime": "2021-12-12T00:00:00Z",
"action": "Alert",
"severity": "Informational",
"description": "demo2",
"recommendedActions": "nothing",
"rbacGroupNames": ["group1", "group2"]
},
{
"indicatorValue": "2233223322332233223322332233223322332233223322332233223322332222",
"indicatorType": "FileSha256",
"title": "demo2",
"application": "demo-test2",
"expirationTime": "2021-12-12T00:00:00Z",
"action": "Alert",
"severity": "Medium",
"description": "demo2",
"recommendedActions": "nothing",
"rbacGroupNames": []
}
]
}
Пример ответа
Ниже приведен пример отклика.
{
"value": [
{
"id": "2841",
"indicator": "220e7d15b011d7fac48f2bd61114db1022197f7f",
"isFailed": false,
"failureReason": null
},
{
"id": "2842",
"indicator": "2233223322332233223322332233223322332233223322332233223322332222",
"isFailed": false,
"failureReason": null
}
]
}
Связанная статья
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.