列出 Microsoft Defender 全面偵測回應 中的事件 API
適用於:
注意事項
使用 MS Graph 安全性 API 試用新的 API。 深入瞭解: 使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn。
重要事項
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
API 描述
清單事件 API 可讓您排序事件,以建立明智的網路安全性回應。 它會在您環境保留原則中指定的時間範圍內,公開已在網路中標幟的事件集合。 最新的事件會顯示在清單頂端。 每個事件都包含相關警示及其相關實體的陣列。
API 支援下列 OData 運算 子:
-
$filter
在、lastUpdateTime
createdTime
、status
和assignedTo
屬性上 -
$top
,最大值為 100 $skip
限制
- 頁面大小上限為 100個事件。
- 要求的速率上限為 每分鐘 50 次呼叫 , 每小時 1500 次呼叫。
權限
呼叫此 API 需要下列其中一個許可權。 若要深入瞭解,包括如何選擇許可權,請參閱存取 Microsoft Defender 全面偵測回應 API
許可權類型 | 權限 | 許可權顯示名稱 |
---|---|---|
應用程式 | Incident.Read.All | 讀取所有事件 |
應用程式 | Incident.ReadWrite.All | 讀取和寫入所有事件 |
委派 (公司或學校帳戶) | Incident.Read | 讀取事件 |
委派 (公司或學校帳戶) | Incident.ReadWrite | 讀取和寫入事件 |
注意事項
使用使用者認證取得權杖時:
- 用戶必須擁有入口網站中事件的檢視許可權。
- 回應只會包含用戶公開的事件。
HTTP 要求
GET /api/incidents
要求標頭
名稱 | 類型 | 描述 |
---|---|---|
授權 | 字串 | 持有人 {token}。 Required |
要求內文
無。
回應
如果成功,這個方法會傳回 200 OK
,以及回應本文中 的事件 清單。
架構對應
事件元數據
欄位名稱 | 描述 | 範例值 |
---|---|---|
incidentId | 代表事件的唯一標識符 | 924565 |
redirectIncidentId | 只有在事件與另一個事件群組在一起時才會填入,作為事件處理邏輯的一部分。 | 924569 |
incidentName | 每個事件可用的字串值。 | 勒索軟體活動 |
createdTime | 第一次建立事件的時間。 | 2020-09-06T14:46:57.0733333Z |
lastUpdateTime | 上次更新後端事件的時間。 當您針對擷取事件的時間範圍設定要求參數時,可以使用此欄位。 |
2020-09-06T14:46:57.29Z |
assignedTo | 事件的擁有者,如果未指派擁有者,則為 null 。 | secop2@contoso.com |
分類 | 事件的規格。 屬性值為: Unknown、 FalsePositive、 TruePositive | Unknown |
測定 | 指定事件的判斷。 屬性值為: NotAvailable、 Apt、 Malware、 SecurityPersonnel、 SecurityTesting、 UnwantedSoftware、 Other | NotAvailable |
detectionSource | 指定偵測來源。 | Defender for Cloud Apps |
狀態 | 將事件分類 (為作用中或 已解決) 。 它可協助您組織和管理事件的回應。 | 作用中 |
嚴重性 | 指出對資產可能造成的影響。 嚴重性越高,影響就越大。 通常較高的嚴重性專案需要最立即注意。 下列其中一個值: Informational、 Low、*Medium 和 High。 |
中 |
標記 | 與事件相關聯的自定義標籤列,例如,將具有常見特性的事件群組標示。 | [] |
註解 | 管理事件時 secops 所建立的批注陣列,例如分類選取的其他資訊。 | [] |
警報 | 數位,包含與事件相關的所有警示,以及其他資訊,例如嚴重性、涉及警示的實體,以及警示的來源。 | [] (查看下方警示字段的詳細數據) |
警示元數據
欄位名稱 | 描述 | 範例值 |
---|---|---|
alertId | 代表警示的唯一標識碼 | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
incidentId | 代表與此警示相關聯之事件的唯一標識符 | 924565 |
serviceSource | 警示源自的服務,例如 適用於端點的 Microsoft Defender、Microsoft Defender for Cloud Apps、適用於身分識別的 Microsoft Defender 或適用於 Office 365 的 Microsoft Defender。 | MicrosoftCloudAppSecurity |
creationTime | 第一次建立警示的時間。 | 2020-09-06T14:46:55.7182276Z |
lastUpdatedTime | 上次在後端更新警示的時間。 | 2020-09-06T14:46:57.2433333Z |
resolvedTime | 解決警示的時間。 | 2020-09-10T05:22:59Z |
firstActivity | 警示第一次報告活動已在後端更新的時間。 | 2020-09-04T05:22:59Z |
title | 每個警示可用的簡短識別字串值。 | 勒索軟體活動 |
描述 | 描述每個警示的字串值。 | 用戶測試 User2 (testUser2@contoso.com) 操作了 99 個擴展名,並以不常用 的擴展名結尾。 這是不尋常的檔案操作數目,表示潛在的勒索軟體攻擊。 |
類別 | 攻擊在刪除鏈結中進展程度的視覺和數值檢視。 對齊 MITRE ATT&CK™ 架構。 | 影響 |
狀態 | 將警示分類 (為 [新增]、[ 作用中] 或 [ 已解決 ]) 。 它可協助您組織和管理警示的回應。 | 新增 |
嚴重性 | 指出對資產可能造成的影響。 嚴重性越高,影響就越大。 通常較高的嚴重性專案需要最立即注意。 下列其中一個值: Informational、 Low、 Medium 和 High。 |
中 |
investigationId | 此警示所觸發的自動化調查標識碼。 | 1234 |
investigationState | 調查目前狀態的相關信息。 下列其中一個值:Unknown、Terminated、SuccessfullyRemediated、Benign、Failed、PartiallyRemediated、Running、PendingApproval、PendingResource、PartiallyInvestigated、TerminatedByUser、TerminatedBySystem、Queued、InnerFailure、PreexistingAlert、UnsupportedOs、UnsupportedAlertType、SuppressedAlert。 | UnsupportedAlertType |
分類 | 事件的規格。 屬性值為: Unknown、 FalsePositive、 TruePositive 或 null | Unknown |
測定 | 指定事件的判斷。 屬性值為: NotAvailable、 Apt、 Malware、 SecurityPersonnel、 SecurityTesting、 UnwantedSoftware、 Other 或 null | 容易 |
assignedTo | 事件的擁有者,如果未指派擁有者,則為 null 。 | secop2@contoso.com |
actorName | 活動群組,如果有的話,則為與此警示相關聯的 。 | 硼 |
threatFamilyName | 與此警示相關聯的威脅系列。 | Null |
mitreTechniques | 與 MITRE ATT&CK™ 架構一致的攻擊技術。 | [] |
devices | 已傳送與事件相關警示的所有裝置。 | [] (查看下方實體字段的詳細數據) |
裝置格式
欄位名稱 | 描述 | 範例值 |
---|---|---|
DeviceId | 適用於端點的 Microsoft Defender 中指定的裝置識別碼。 | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
aadDeviceId | Microsoft Entra ID 中指定的裝置識別碼。 僅適用於已加入網域的裝置。 | Null |
deviceDnsName | 裝置的完整功能變數名稱。 | user5cx.middleeast.corp.contoso.com |
osPlatform | 裝置正在執行的OS平臺。 | WindowsServer2016 |
osBuild | 裝置正在執行之 OS 的組建版本。 | 14393 |
rbacGroupName | 角色 型訪問控制 (與裝置相關聯的 RBAC) 群組。 | WDATP-Ring0 |
firstSeen | 第一次看到裝置的時間。 | 2020-02-06T14:16:01.9330135Z |
healthStatus | 裝置的健康情況狀態。 | 作用中 |
riskScore | 裝置的風險分數。 | 高 |
實體 | 已識別為指定警示一部分或相關的所有實體。 | [] (查看下方實體字段的詳細數據) |
實體格式
欄位名稱 | 描述 | 範例值 |
---|---|---|
entityType | 已識別為指定警示一部分或相關實體的實體。 屬性值為: User、 Ip、 Url、 File、 Process、 MailBox、 MailMessage、 MailCluster、 Registry |
使用者 |
sha1 | 如果 entityType 是 File,則可使用。 與檔案或進程相關聯之警示的檔案哈希。 |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
sha256 | 如果 entityType 是 File,則可使用。 與檔案或進程相關聯之警示的檔案哈希。 |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
檔名 | 如果 entityType 是 File,則可使用。 與檔案或進程相關聯之警示的檔名 |
Detector.UnitTests.dll |
filePath | 如果 entityType 是 File,則可使用。 與檔案或進程相關聯之警示的檔案路徑 |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
processId | 如果 entityType 為 Process,則可使用。 | 24348 |
processCommandLine | 如果 entityType 為 Process,則可使用。 | 「您的檔案已準備好 Download_1911150169.exe」 |
processCreationTime | 如果 entityType 為 Process,則可使用。 | 2020-07-18T03:25:38.5269993Z |
parentProcessId | 如果 entityType 為 Process,則可使用。 | 16840 |
parentProcessCreationTime | 如果 entityType 為 Process,則可使用。 | 2020-07-18T02:12:32.8616797Z |
ipAddress | 如果 entityType 為 Ip,則可使用。 與網路事件相關聯之警示的IP位址,例如 對惡意網路目的地的通訊。 |
62.216.203.204 |
URL | 如果 entityType 為 URL,則可使用。 與網路事件相關聯之警示的 URL,例如, 與惡意網路目的地的通訊。 |
down.esales360.cn |
accountName | 如果 entityType 為 User,則可 使用。 | testUser2 |
domainName | 如果 entityType 為 User,則可 使用。 | europe.corp.contoso |
userSid | 如果 entityType 為 User,則可 使用。 | S-1-5-21-1721254763-462695806-1538882281-4156657 |
aadUserId | 如果 entityType 為 User,則可 使用。 | fc8f7484-f813-4db2-afab-bc1507913fb6 |
userPrincipalName | 如果 entityType 是 User/MailBox/MailMessage,則可使用。 | testUser2@contoso.com |
mailboxDisplayName | 如果 entityType 為 MailBox,則可使用。 | 測試 User2 |
mailboxAddress | 如果 entityType 是 User/MailBox/MailMessage,則可使用。 | testUser2@contoso.com |
clusterBy | 如果 entityType 為 MailCluster,則可使用。 | 主題;P2SenderDomain;ContentType |
sender | 如果 entityType 是 User/MailBox/MailMessage,則可使用。 | user.abc@mail.contoso.co.in |
recipient | 如果 entityType 為 MailMessage,則可使用。 | testUser2@contoso.com |
主題 | 如果 entityType 為 MailMessage,則可使用。 | [EXTERNAL]注意 |
deliveryAction | 如果 entityType 為 MailMessage,則可使用。 | 已傳遞 |
securityGroupId | 如果 entityType 為 SecurityGroup,則可使用。 | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
securityGroupName | 如果 entityType 為 SecurityGroup,則可使用。 | 網路設定運算子 |
registryHive | 如果 entityType 是 Registry,則可使用。 | HKEY_LOCAL_MACHINE |
registryKey | 如果 entityType 是 Registry,則可使用。 | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
registryValueType | 如果 entityType 是 Registry,則可使用。 | 字串 |
registryValue | 如果 entityType 是 Registry,則可使用。 | 31-00-00-00 |
deviceId | 與實體相關的裝置識別碼,如果有的話。 | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
範例
要求範例
GET https://api.security.microsoft.com/api/incidents
回應範例
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
相關文章
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。