Tipo de recurso de indicador
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Observação
Se for um cliente do Us Government, utilize os URIs listados no Microsoft Defender para Endpoint para clientes do Us Government.
Dica
Para um melhor desempenho, pode utilizar o servidor mais próximo da localização geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- Veja a página Indicadores correspondente no portal.
Método | Tipo de retorno | Descrição |
---|---|---|
Listar Indicadores | Indicador Coleção | Entidades de Indicador de Lista. |
Enviar indicador | Indicador | Submeta ou atualize a entidade Indicador . |
Importar Indicadores | Indicador Coleção | Submeta ou atualize entidades de Indicadores . |
Excluir Indicador | Sem Conteúdo | Elimina a entidade Indicador . |
Propriedades
Propriedade | Tipo | Descrição |
---|---|---|
id | Cadeia de caracteres | Identidade da entidade Indicador . |
indicatorValue | Cadeia de caracteres | O valor do Indicador. |
indicatorType | Enum | Tipo do indicador. Os valores possíveis são: FileSha1 , , FileSha256 FileMd5 , CertificateThumbprint , , IpAddress , DomainName e Url . |
aplicação | Cadeia de caracteres | A aplicação associada ao indicador. |
ação | Enum | A ação que é efetuada se o indicador for detetado na organização. Os valores possíveis são: Warn , , Block Audit , Alert , , AlertAndBlock , BlockAndRemediate e Allowed . |
externalID | Cadeia de caracteres | ID que o cliente pode submeter no pedido de correlação personalizada. |
sourceType | Enum |
User caso o Indicador criado por um utilizador (por exemplo, a partir do portal), AadApp caso seja submetido através da aplicação automatizada através da API. |
createdBySource | string | O nome do utilizador/aplicação que submeteu o indicador. |
createdBy | Cadeia de caracteres | Identidade exclusiva do utilizador/aplicação que submeteu o indicador. |
lastUpdatedBy | Cadeia de caracteres | Identidade do utilizador/aplicação que atualizou o indicador pela última vez. |
creationTimeDateTimeUtc | DateTimeOffset | A data e hora em que o indicador foi criado. |
expirationTime | DateTimeOffset | O tempo de expiração do indicador. |
lastUpdateTime | DateTimeOffset | A última vez que o indicador foi atualizado. |
severity | Enum | A gravidade do indicador. Os valores possíveis são: Informational , Low , Medium , e High . |
title | Cadeia de caracteres | Título do indicador. |
description | Cadeia de caracteres | Descrição do indicador. |
recommendedActions | Cadeia de caracteres | Ações recomendadas para o indicador. |
rbacGroupNames | Lista de cadeias | Nomes de grupos de dispositivos RBAC onde o indicador está exposto e ativo. Lista vazia no caso de ser exposta a todos os dispositivos. |
rbacGroupIds | Lista de cadeias | IDs do grupo de dispositivos RBAC onde o indicador está exposto e ativo. Lista vazia no caso de ser exposta a todos os dispositivos. |
generateAlert | Enum | Verdadeiro se a geração de alertas for necessária, Falso se este indicador não quiser gerar um alerta. |
Tipos de Indicador
Os tipos de ação de indicador suportados pela API são:
- Permitido
- Auditoria
- Bloquear
- BlockAndRemediate
- Avisar (apenas para Aplicações do Defender para Cloud)
Para obter mais informações sobre a descrição dos tipos de ações de resposta, veja Criar indicadores.
Observação
As ações de resposta anteriores (AlertAndBlock e Alert) serão suportadas até janeiro de 2022. Após esta data, todos os clientes têm de utilizar um dos tipos de ação listados nesta secção.
Representação Json
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}
Confira também
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.