Auflisten der Indikatoren-API

  • Artikel

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie die URIs, die unter Microsoft Defender für Endpunkt für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-Beschreibung

Ruft eine Auflistung aller aktiven Indikatoren ab.

Unterstützt OData V4-Abfragen.

Die OData-Abfrage $filter wird für die applicationEigenschaften , , createdByDisplayName, expirationTimegenerateAlert, title, rbacGroupNames, rbacGroupIds, indicatorValuecreationTimeDateTimeUtcindicatorType, , createdBy, actionund severity unterstützt.
$stop mit einem maximalen Wert von 10.000.
$skip.

Beispiele finden Sie unter OData-Abfragen mit Microsoft Defender für Endpunkt.

Begrenzungen

Die Ratenbeschränkungen für diese API sind 100 Aufrufe pro Minute und 1.500 Aufrufe pro Stunde.

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Erste Schritte.

Berechtigungstyp Berechtigung Anzeigename der Berechtigung
App Ti.ReadWrite Read and write Indicators
App Ti.ReadWrite.All Read and write All Indicators
Delegiert (Geschäfts-, Schul- oder Unikonto) Ti.ReadWrite Read and write Indicators

HTTP-Anforderung

GET https://api.securitycenter.microsoft.com/api/indicators

Anforderungsheader

Name Typ Beschreibung
Authorization Zeichenfolge Bearer {token}. Erforderlich.

Anforderungstext

Empty

Antwort

Bei erfolgreicher Ausführung gibt die Methode den Antwortcode "200, Ok" mit einer Auflistung von Indikatorentitäten zurück.

Hinweis

Wenn die Anwendung über die Berechtigung verfügt Ti.ReadWrite.All , wird sie für alle Indikatoren verfügbar gemacht. Andernfalls wird sie nur für die erstellten Indikatoren verfügbar gemacht.

Beispiel 1

Beispiel 1 Anforderung

Hier sehen Sie ein Beispiel für eine Anforderung, die alle Indikatoren abruft.

GET https://api.securitycenter.microsoft.com/api/indicators

Beispiel 1 Antwort

Hier ist ein Beispiel für die Antwort.

HTTP/1.1 200 Ok
Content-type: application/json
{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
    "value": [
        {
            "id": "995",
            "indicatorValue": "12.13.14.15",
            "indicatorType": "IpAddress",
            "action": "Alert",
            "application": "demo-test",
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T11:15:35.3688259Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "test",
            "rbacGroupNames": []
        },
        {
            "id": "996",
            "indicatorValue": "220e7d15b0b3d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "action": "AlertAndBlock",
            "application": null,
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "TEST",
            "rbacGroupNames": [ "Group1", "Group2" ]
        }
        ...
    ]
}

Beispiel 2

Beispiel 2 Anforderung

Hier sehen Sie ein Beispiel für eine Anforderung, die alle Indikatoren mit AlertAndBlock Aktion abruft.

GET https://api.securitycenter.microsoft.com/api/indicators?$filter=action+eq+'AlertAndBlock'

Beispiel 2 Antwort

Hier ist ein Beispiel für die Antwort.

HTTP/1.1 200 Ok
Content-type: application/json
{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Indicators",
    "value": [
        {
            "id": "997",
            "indicatorValue": "111e7d15b0b3d7fac48f2bd61114db1022197f7f",
            "indicatorType": "FileSha1",
            "action": "AlertAndBlock",
            "application": null,
            "source": "TestPrdApp",
            "sourceType": "AadApp",
            "title": "test",
            "creationTimeDateTimeUtc": "2018-10-24T10:54:23.2009016Z",
            "createdBy": "45097602-1234-5678-1234-9f453233e62c",
            "expirationTime": "2020-12-12T00:00:00Z",
            "lastUpdateTime": "2019-10-24T10:54:23.2009016Z",
            "lastUpdatedBy": TestPrdApp,
            "severity": "Informational",
            "description": "test",
            "recommendedActions": "TEST",
            "rbacGroupNames": [ "Group1", "Group2" ]
        }
        ...
    ]
}

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.