Поделиться через


Тип ресурса индикатора

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.

Совет

Для повышения производительности можно использовать сервер ближе к географическому расположению:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com
Метод Возвращаемый тип Описание
Список индикаторов Индикатор Коллекция Вывод списка сущностей индикатора .
Отправка индикатора Индикатор Отправка или обновление сущности индикатора .
Импорт индикаторов Индикатор Коллекция Отправка или обновление сущностей индикаторов .
Удалить индикатор Содержимое отсутствует Удаляет сущность индикатора .

Свойства

Свойство Тип Описание
id String Удостоверение сущности Индикатор .
indicatorValue String Значение индикатора.
indicatorType Перечисление Тип индикатора. Возможные значения: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainNameи Url.
приложение String Приложение, связанное с индикатором.
action Перечисление Действие, выполняемое при обнаружении индикатора в организации. Возможные значения: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediateи Allowed.
externalID String Идентификатор, который клиент может отправить в запросе на настраиваемую корреляцию.
sourceType Перечисление User в случае, если индикатор, созданный пользователем (например, на портале), AadApp в случае, если он отправлен с помощью автоматизированного приложения через API.
createdBySource string Имя пользователя или приложения, отправившего индикатор.
createdBy String Уникальное удостоверение пользователя или приложения, отправившего индикатор.
lastUpdatedBy String Идентификатор пользователя или приложения, которые последний раз обновляли индикатор.
creationTimeDateTimeUtc DateTimeOffset Дата и время создания индикатора.
expirationTime DateTimeOffset Время окончания срока действия индикатора.
lastUpdateTime DateTimeOffset Время последнего обновления индикатора.
severity Перечисление Серьезность индикатора. Возможные значения: Informational, Low, Medium и High.
title String Заголовок индикатора.
description String Описание индикатора.
recommendedActions String Рекомендуемые действия для индикатора.
rbacGroupNames Список строк Имена групп устройств RBAC, в которых индикатор отображается и активен. Пустой список на случай, если он открыт для всех устройств.
rbacGroupIds Список строк Идентификаторы групп устройств RBAC, в которых индикатор доступен и активен. Пустой список на случай, если он открыт для всех устройств.
generateAlert Перечисление Значение True , если требуется создание оповещений, значение False , если этот индикатор не должен создавать оповещение.

Типы индикаторов

Api поддерживает следующие типы действий индикаторов:

  • Разрешено
  • Аудит
  • Блокировка
  • BlockAndRemediate
  • Предупреждение (только в Defender для облачных приложений)

Дополнительные сведения об описании типов действий ответа см. в разделе Создание индикаторов.

Примечание.

Предыдущие действия ответа (AlertAndBlock и Alert) будут поддерживаться до января 2022 г. После этой даты все клиенты должны использовать один из типов действий, перечисленных в этом разделе.

Представление JSON

{
    "id": "994",
    "indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
    "indicatorType": "FileSha256",
    "action": "AlertAndBlock",
    "application": null,
    "source": "[email protected]",
    "sourceType": "User",
    "createdBy": "[email protected]",
    "severity": "Informational",
    "title": "Michael test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
    "expirationTime": null,
    "lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": ["team1"]
}

См. также

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.