Тип ресурса индикатора
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Примечание.
Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.
Совет
Для повышения производительности можно использовать сервер ближе к географическому расположению:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- См. соответствующую страницу Индикаторы на портале.
| Метод | Возвращаемый тип | Описание |
|---|---|---|
| Список индикаторов | Индикатор Коллекция | Вывод списка сущностей индикатора . |
| Отправка индикатора | Индикатор | Отправка или обновление сущности индикатора . |
| Импорт индикаторов | Индикатор Коллекция | Отправка или обновление сущностей индикаторов . |
| Удалить индикатор | Содержимое отсутствует | Удаляет сущность индикатора . |
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| id | String | Удостоверение сущности Индикатор . |
| indicatorValue | String | Значение индикатора. |
| indicatorType | Перечисление | Тип индикатора. Возможные значения: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainNameи Url. |
| приложение | String | Приложение, связанное с индикатором. |
| action | Перечисление | Действие, выполняемое при обнаружении индикатора в организации. Возможные значения: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediateи Allowed. |
| externalID | String | Идентификатор, который клиент может отправить в запросе на настраиваемую корреляцию. |
| sourceType | Перечисление |
User в случае, если индикатор, созданный пользователем (например, на портале), AadApp в случае, если он отправлен с помощью автоматизированного приложения через API. |
| createdBySource | string | Имя пользователя или приложения, отправившего индикатор. |
| createdBy | String | Уникальное удостоверение пользователя или приложения, отправившего индикатор. |
| lastUpdatedBy | String | Идентификатор пользователя или приложения, которые последний раз обновляли индикатор. |
| creationTimeDateTimeUtc | DateTimeOffset | Дата и время создания индикатора. |
| expirationTime | DateTimeOffset | Время окончания срока действия индикатора. |
| lastUpdateTime | DateTimeOffset | Время последнего обновления индикатора. |
| severity | Перечисление | Серьезность индикатора. Возможные значения: Informational, Low, Medium и High. |
| title | String | Заголовок индикатора. |
| description | String | Описание индикатора. |
| recommendedActions | String | Рекомендуемые действия для индикатора. |
| rbacGroupNames | Список строк | Имена групп устройств RBAC, в которых индикатор отображается и активен. Пустой список на случай, если он открыт для всех устройств. |
| rbacGroupIds | Список строк | Идентификаторы групп устройств RBAC, в которых индикатор доступен и активен. Пустой список на случай, если он открыт для всех устройств. |
| generateAlert | Перечисление | Значение True , если требуется создание оповещений, значение False , если этот индикатор не должен создавать оповещение. |
Типы индикаторов
Api поддерживает следующие типы действий индикаторов:
- Разрешено
- Аудит
- Блокировка
- BlockAndRemediate
- Предупреждение (только в Defender для облачных приложений)
Дополнительные сведения об описании типов действий ответа см. в разделе Создание индикаторов.
Примечание.
Предыдущие действия ответа (AlertAndBlock и Alert) будут поддерживаться до января 2022 г. После этой даты все клиенты должны использовать один из типов действий, перечисленных в этом разделе.
Представление JSON
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "[email protected]",
"sourceType": "User",
"createdBy": "[email protected]",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
См. также
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.