Indikatorresurstyp
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Obs!
Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.
Tips
För bättre prestanda kan du använda servern närmare din geoplats:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- Se motsvarande sida indikatorer i portalen.
Metod | Returtyp | Beskrivning |
---|---|---|
Lista indikatorer | Indikator Samling | Listindikatorentiteter. |
Skicka indikator | Indikator | Skicka eller uppdatera indikatorentiteten . |
Importindikatorer | Indikator Samling | Skicka eller uppdatera entiteter för indikatorer . |
Ta bort indikator | Inget innehåll | Tar bort indikatorentiteten . |
Egenskaper
Egenskap | Typ | Beskrivning |
---|---|---|
id | Sträng | Identitet för indikatorentiteten . |
indicatorValue | Sträng | Värdet för indikatorn. |
indicatorType | Räkna upp | Indikatorns typ. Möjliga värden är: FileSha1 , FileSha256 , FileMd5 , CertificateThumbprint , IpAddress , DomainName och Url . |
tillämpning | Sträng | Programmet som är associerat med indikatorn. |
åtgärd | Räkna upp | Den åtgärd som vidtas om indikatorn identifieras i organisationen. Möjliga värden är: Warn , Block , Audit , Alert , AlertAndBlock , BlockAndRemediate och Allowed . |
externalID | Sträng | ID som kunden kan skicka i begäran om anpassad korrelation. |
sourceType | Räkna upp |
User om indikatorn som skapats av en användare (till exempel från portalen), AadApp om den skickades med hjälp av automatiserat program via API:et. |
createdBySource | sträng | Namnet på användaren/programmet som skickade indikatorn. |
createdBy | Sträng | Unik identitet för den användare/det program som skickade indikatorn. |
lastUpdatedBy | Sträng | Identitet för den användare/det program som senast uppdaterade indikatorn. |
creationTimeDateTimeUtc | DateTimeOffset | Datum och tid då indikatorn skapades. |
expirationTime | DateTimeOffset | Indikatorns förfallotid. |
lastUpdateTime | DateTimeOffset | Senaste gången indikatorn uppdaterades. |
stränghet | Räkna upp | Allvarlighetsgraden för indikatorn. Möjliga värden är: Informational , Low , Medium och High . |
titel | Sträng | Indikatorrubrik. |
beskrivning | Sträng | Beskrivning av indikatorn. |
recommendedActions | Sträng | Rekommenderade åtgärder för indikatorn. |
rbacGroupNames | Lista över strängar | RBAC-enhetsgruppnamn där indikatorn är exponerad och aktiv. Tom lista om den skulle exponeras för alla enheter. |
rbacGroupIds | Lista över strängar | RBAC-enhetsgrupp-ID:n där indikatorn är exponerad och aktiv. Tom lista om den skulle exponeras för alla enheter. |
generateAlert | Räkna upp | Sant om aviseringsgenerering krävs, Falskt om den här indikatorn inte ska generera en avisering. |
Indikatortyper
Indikatoråtgärdstyperna som stöds av API:et är:
- Tillåts
- Granskning
- Blockera
- BlockAndRemediate
- Varna (endast Defender for Cloud Apps)
Mer information om beskrivningen av svarsåtgärdstyperna finns i Skapa indikatorer.
Obs!
De tidigare svarsåtgärderna (AlertAndBlock och Alert) stöds fram till januari 2022. Efter det här datumet måste alla kunder använda någon av de åtgärdstyper som anges i det här avsnittet.
Json-representation
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
Se även
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.