Список API инцидентов в Microsoft Defender XDR
Область применения:
Примечание.
Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Описание API
API списков инцидентов позволяет отсортировать инциденты, чтобы создать информированный ответ кибербезопасности. Он предоставляет коллекцию инцидентов, которые были помечены в сети, в диапазоне времени, указанном в политике хранения среды. Самые последние инциденты отображаются в верхней части списка. Каждый инцидент содержит массив связанных оповещений и связанных с ними сущностей.
API поддерживает следующие операторы OData :
$filterв свойствахlastUpdateTime,createdTime,statusиassignedTo$top, с максимальным значением 100$skip
Ограничения
- Максимальный размер страницы — 100 инцидентов.
- Максимальная скорость запросов — 50 вызовов в минуту и 1500 вызовов в час.
Разрешения
Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Api Microsoft Defender XDR доступа.
| Тип разрешения | Разрешение | Отображаемое имя разрешения |
|---|---|---|
| Приложение | Incident.Read.All | Чтение всех инцидентов |
| Приложение | Incident.ReadWrite.All | Чтение и запись всех инцидентов |
| Делегированные (рабочая или учебная учетная запись) | Incident.Read | Чтение инцидентов |
| Делегированные (рабочая или учебная учетная запись) | Incident.ReadWrite | Инциденты чтения и записи |
Примечание.
При получении маркера с использованием учетных данных пользователя:
- Пользователь должен иметь разрешение на просмотр инцидентов на портале.
- Ответ будет включать только инциденты, которым подвергается пользователь.
HTTP-запрос
GET /api/incidents
Заголовки запросов
| Имя | Тип | Описание |
|---|---|---|
| Авторизация | String | Bearer {token}. Required |
Текст запроса
Нет.
Отклик
В случае успешного выполнения этот метод возвращает 200 OKи список инцидентов в тексте ответа.
Сопоставление схемы
Метаданные инцидента
| Имя поля | Описание | Пример значения |
|---|---|---|
| incidentId | Уникальный идентификатор для представления инцидента | 924565 |
| redirectIncidentId | Заполняется только в том случае, если инцидент группируется вместе с другим инцидентом в рамках логики обработки инцидента. | 924569 |
| incidentName | Строковое значение, доступное для каждого инцидента. | Действия программы-шантажиста. |
| createdTime | Время первого создания инцидента. | 2020-09-06T14:46:57.073333Z |
| lastUpdateTime | Время последнего обновления инцидента в серверной части. Это поле можно использовать при задании параметра запроса для диапазона времени, в течение которого извлекаются инциденты. |
2020-09-06T14:46:57.29Z |
| assignedTo | Владелец инцидента или значение NULL , если владелец не назначен. | [email protected] |
| classification | Спецификация инцидента. Значения свойств: Unknown, FalsePositive, TruePositive | Unknown |
| Определение | Указывает определение инцидента. Значения свойств: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other | NotAvailable |
| detectionSource | Указывает источник обнаружения. | Defender for Cloud Apps |
| status | Классифицируйте инциденты ( активные или разрешенные). Она помогает организовать реагирование на инциденты и управлять ими. | Активное |
| severity | Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют самого непосредственного внимания. Одно из следующих значений: Информационный, Низкий, *Средний и Высокий. |
Средняя |
| tags | Массив настраиваемых тегов, связанных с инцидентом, например для пометки группы инцидентов с общей характеристикой. | [] |
| comments | Массив комментариев, создаваемых secops при управлении инцидентом, например дополнительные сведения о выборе классификации. | [] |
| оповещения | Массив, содержащий все оповещения, связанные с инцидентом, а также другую информацию, например серьезность, сущности, которые были вовлечены в оповещение, и источник оповещений. | [] (см. подробные сведения о полях оповещений ниже) |
Метаданные оповещений
| Имя поля | Описание | Пример значения |
|---|---|---|
| alertId | Уникальный идентификатор, представляющий оповещение | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| incidentId | Уникальный идентификатор, представляющий инцидент, с которым связано это оповещение | 924565 |
| serviceSource | Служба, из которой исходит оповещение, например Microsoft Defender для конечной точки, Microsoft Defender for Cloud Apps, Microsoft Defender для удостоверений или Microsoft Defender для Office 365. | MicrosoftCloudAppSecurity |
| creationTime | Время создания оповещения. | 2020-09-06T14:46:55.7182276Z |
| lastUpdatedTime | Время последнего обновления оповещения на серверной части. | 2020-09-06T14:46:57.243333Z |
| resolvedTime | Время, когда оповещение было разрешено. | 2020-09-10T05:22:59Z |
| firstActivity | Время, когда оповещение впервые сообщило, что действие было обновлено на серверной части. | 2020-09-04T05:22:59Z |
| title | Краткое определение строкового значения, доступного для каждого оповещения. | Действия программы-шантажиста. |
| description | Строковое значение, описывающее каждое оповещение. | Пользователь Test User2 ([email protected]) управлял 99 файлами с несколькими расширениями, заканчивающимися необычным расширением herunterladen. Это необычное количество операций с файлами и указывает на потенциальную атаку программы-шантажиста. |
| category | Визуальное и числовое представление о том, как далеко атака продвигалась по цепочке уничтожения. Соответствует платформе MITRE ATT&CK™. | Влияние |
| status | Классифицируйте оповещения ( новые, активные или разрешенные). С его помощью можно упорядочить ответы на оповещения и управлять ими. | Создать |
| severity | Указывает возможное влияние на ресурсы. Чем выше серьезность, тем больше влияние. Как правило, элементы с более высоким уровнем серьезности требуют самого непосредственного внимания. Одно из следующих значений: Информационный, Низкий, Средний и Высокий. |
Средняя |
| investigationId | Идентификатор автоматического исследования, активируется этим оповещением. | 1234 |
| investigationState | Сведения о текущем состоянии расследования. Одно из следующих значений: Unknown, Terminated, SuccessfullyRemediated, Доброкачественный, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | НеподдерживаемыйAlertType |
| classification | Спецификация инцидента. Значения свойств: Unknown, FalsePositive, TruePositive или NULL. | Unknown |
| Определение | Указывает определение инцидента. Значения свойств: NotAvailable, Apt, Malware, SecurityPersonnel, SecurityTesting, UnwantedSoftware, Other или NULL | Apt |
| assignedTo | Владелец инцидента или значение NULL , если владелец не назначен. | [email protected] |
| actorName | Группа действий , если она есть, связанная с этим оповещением. | БОРА |
| threatFamilyName | Семейство угроз, связанное с этим оповещением. | null |
| mitreTechniques | Методы атаки в соответствии с MITRE ATT&платформы CK™. | [] |
| devices | Все устройства, на которые были отправлены оповещения, связанные с инцидентом. | [] (см. подробные сведения о полях сущностей ниже) |
Формат устройства
| Имя поля | Описание | Пример значения |
|---|---|---|
| DeviceId | Идентификатор устройства, указанный в Microsoft Defender для конечной точки. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
| aadDeviceId | Идентификатор устройства, указанный в Microsoft Entra ID. Доступно только для устройств, присоединенных к домену. | null |
| deviceDnsName | Полное доменное имя устройства. | user5cx.middleeast.corp.contoso.com |
| osPlatform | Платформа ОС, на котором работает устройство. | WindowsServer2016 |
| osBuild | Версия сборки для ОС, на котором работает устройство. | 14393 |
| rbacGroupName | Группа управления доступом на основе ролей (RBAC), связанная с устройством. | WDATP-Ring0 |
| firstSeen | Время, когда устройство было впервые замечено. | 2020-02-06T14:16:01.9330135Z |
| healthStatus | Состояние работоспособности устройства. | Активное |
| riskScore | Оценка риска для устройства. | Высокая |
| Объекты | Все сущности, которые были определены как часть или связанные с данным оповещением. | [] (см. подробные сведения о полях сущностей ниже) |
Формат сущности
| Имя поля | Описание | Пример значения |
|---|---|---|
| Entitytype | Сущности, которые были определены как часть или связанные с данным оповещением. Значения свойств: User, Ip, URL, File, Process, MailBox, MailMessage, MailCluster, Registry |
Пользователь |
| sha1 | Доступно, если entityType имеет значение File. Хэш файла для оповещений, связанных с файлом или процессом. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
| sha256 | Доступно, если entityType имеет значение File. Хэш файла для оповещений, связанных с файлом или процессом. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| fileName | Доступно, если entityType имеет значение File. Имя файла оповещений, связанных с файлом или процессом |
Detector.UnitTests.dll |
| filePath | Доступно, если entityType имеет значение File. Путь к файлу оповещений, связанных с файлом или процессом |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| processId | Доступно, если entityType имеет значение Process. | 24348 |
| processCommandLine | Доступно, если entityType имеет значение Process. | "Файл готов к Download_1911150169.exe" |
| processCreationTime | Доступно, если entityType имеет значение Process. | 2020-07-18T03:25:38.5269993Z |
| parentProcessId | Доступно, если entityType имеет значение Process. | 16840 |
| parentProcessCreationTime | Доступно, если entityType имеет значение Process. | 2020-07-18T02:12:32.8616797Z |
| ipAddress | Доступно, если entityType имеет значение Ip. IP-адрес оповещений, связанных с сетевыми событиями, такими как обмен данными с вредоносным сетевым назначением. |
62.216.203.204 |
| url | Доступно, если entityType имеет значение URL-адрес. URL-адрес оповещений, связанных с сетевыми событиями, такими как Обмен данными с вредоносным сетевым назначением. |
down.esales360.cn |
| accountName | Доступно, если entityType имеет значение User. | testUser2 |
| domainName | Доступно, если entityType имеет значение User. | europe.corp.contoso |
| userSid | Доступно, если entityType имеет значение User. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| aadUserId | Доступно, если entityType имеет значение User. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| userPrincipalName. | Доступно, если entityType имеет значение User/MailBox/MailMessage. | [email protected] |
| mailboxDisplayName | Доступно, если entityType имеет значение MailBox. | test User2 |
| mailboxAddress | Доступно, если entityType имеет значение User/MailBox/MailMessage. | [email protected] |
| clusterBy | Доступно, если entityType — MailCluster. | Тема; P2SenderDomain; Contenttype |
| sender | Доступно, если entityType имеет значение User/MailBox/MailMessage. | [email protected] |
| получатель; | Доступно, если entityType имеет значение MailMessage. | [email protected] |
| subject | Доступно, если entityType имеет значение MailMessage. | [EXTERNAL] Внимание |
| deliveryAction | Доступно, если entityType имеет значение MailMessage. | Доставлено |
| securityGroupId | Доступно, если entityType имеет значение SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| securityGroupName | Доступно, если entityType имеет значение SecurityGroup. | Операторы конфигурации сети |
| registryHive | Доступно, если entityType имеет значение Registry. | HKEY_LOCAL_MACHINE |
| Registrykey | Доступно, если entityType имеет значение Registry. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| registryValueType | Доступно, если entityType имеет значение Registry. | String |
| registryValue | Доступно, если entityType имеет значение Registry. | 31-00-00-00 |
| deviceId | Идентификатор устройства, связанного с сущностью , если он есть. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
Пример
Пример запроса
GET https://api.security.microsoft.com/api/incidents
Пример ответа
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "[email protected]",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 ([email protected]) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "[email protected]",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "[email protected]",
"mailboxDisplayName": "test User3",
"mailboxAddress": "[email protected]",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "[email protected]",
"mailboxDisplayName": "test User4",
"mailboxAddress": "[email protected]",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "[email protected]",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "[email protected]",
"recipient": "[email protected]",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
Связанные статьи
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.