Tipo de recurso de indicador
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Nota
Se for um cliente do Us Government, utilize os URIs listados no Microsoft Defender para Endpoint para clientes do Us Government.
Sugestão
Para um melhor desempenho, pode utilizar o servidor mais próximo da localização geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- Veja a página Indicadores correspondente no portal.
Método | Tipo de Devolução | Descrição |
---|---|---|
Listar Indicadores | Indicador Coleção | Entidades de Indicador de Lista. |
Submeter Indicador | Indicador | Submeta ou atualize a entidade Indicador . |
Importar Indicadores | Indicador Coleção | Submeta ou atualize entidades de Indicadores . |
Eliminar Indicador | Sem Conteúdo | Elimina a entidade Indicador . |
Propriedades
Propriedade | Tipo | Descrição |
---|---|---|
id | Cadeia | Identidade da entidade Indicador . |
indicatorValue | Cadeia | O valor do Indicador. |
indicatorType | Enumeração | Tipo do indicador. Os valores possíveis são: FileSha1 , , FileSha256 FileMd5 , CertificateThumbprint , , IpAddress , DomainName e Url . |
aplicação | Cadeia | A aplicação associada ao indicador. |
ação | Enumeração | A ação que é efetuada se o indicador for detetado na organização. Os valores possíveis são: Warn , , Block Audit , Alert , , AlertAndBlock , BlockAndRemediate e Allowed . |
externalID | Cadeia | ID que o cliente pode submeter no pedido de correlação personalizada. |
sourceType | Enumeração |
User caso o Indicador criado por um utilizador (por exemplo, a partir do portal), AadApp caso seja submetido através da aplicação automatizada através da API. |
createdBySource | cadeia | O nome do utilizador/aplicação que submeteu o indicador. |
createdBy | Cadeia | Identidade exclusiva do utilizador/aplicação que submeteu o indicador. |
lastUpdatedBy | Cadeia | Identidade do utilizador/aplicação que atualizou o indicador pela última vez. |
creationTimeDateTimeUtc | DateTimeOffset | A data e hora em que o indicador foi criado. |
expirationTime | DateTimeOffset | O tempo de expiração do indicador. |
lastUpdateTime | DateTimeOffset | A última vez que o indicador foi atualizado. |
gravidade | Enumeração | A gravidade do indicador. Os valores possíveis são: Informational , Low , Medium e High . |
título | Cadeia | Título do indicador. |
descrição | Cadeia | Descrição do indicador. |
recommendedActions | Cadeia | Ações recomendadas para o indicador. |
rbacGroupNames | Lista de cadeias | Nomes de grupos de dispositivos RBAC onde o indicador está exposto e ativo. Lista vazia no caso de ser exposta a todos os dispositivos. |
rbacGroupIds | Lista de cadeias | IDs do grupo de dispositivos RBAC onde o indicador está exposto e ativo. Lista vazia no caso de ser exposta a todos os dispositivos. |
generateAlert | Enumeração | Verdadeiro se a geração de alertas for necessária, Falso se este indicador não quiser gerar um alerta. |
Tipos de Indicador
Os tipos de ação de indicador suportados pela API são:
- Permitido
- Auditoria
- Bloquear
- BlockAndRemediate
- Avisar (apenas Defender for Cloud Apps)
Para obter mais informações sobre a descrição dos tipos de ações de resposta, veja Criar indicadores.
Nota
As ações de resposta anteriores (AlertAndBlock e Alert) serão suportadas até janeiro de 2022. Após esta data, todos os clientes têm de utilizar um dos tipos de ação listados nesta secção.
Representação Json
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
Consulte também
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.