通过

指示器资源类型

  • 适用于: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

属性

属性 类型 说明
id String 指示器实体的标识。
indicatorValue String 指示器的值。
indicatorType 枚举 指示器的类型。 可能的值为:FileSha1、、FileSha256FileMd5CertificateThumbprintIpAddressDomainName、 和 Url
应用程序 String 与指示器关联的应用程序。
action 枚举 在组织中发现指示器时执行的作。 可能的值为:Warn、、BlockAuditAlertAlertAndBlockBlockAndRemediate、 和 Allowed
externalID String 客户可以在请求中提交的自定义关联 ID。
sourceType 枚举 User 如果用户创建的指示器 (例如,从门户) , AadApp 如果它通过 API 使用自动应用程序提交,则为 。
createdBySource string 提交指示器的用户/应用程序的名称。
createdBy String 提交指示器的用户/应用程序的唯一标识。
lastUpdatedBy String 上次更新指示器的用户/应用程序的标识。
creationTimeDateTimeUtc DateTimeOffset 创建指示器的日期和时间。
expirationTime DateTimeOffset 指示器的过期时间。
lastUpdateTime DateTimeOffset 上次更新指示器的时间。
severity 枚举 指示器的严重性。 可能的值为: InformationalLowMediumHigh
title String 指示器标题。
description String 指示器的说明。
recommendedActions String 针对指示器的建议作。
rbacGroupNames 字符串列表 指示器公开并处于活动状态的 RBAC 设备组名称。 如果它公开给所有设备,则为空列表。
rbacGroupIds 字符串列表 指示器公开并处于活动状态的 RBAC 设备组 ID。 如果它公开给所有设备,则为空列表。
generateAlert 枚举 如果需要生成警报,则为 True;如果此指示器不应生成警报,则为 False

指示器类型

API 支持的指示器作类型包括:

  • Allowed
  • Audit
  • 阻止
  • BlockAndRemediate
  • 仅警告 (Defender for Cloud Apps)

有关响应作类型说明的详细信息,请参阅 创建指示器

注意

在 2022 年 1 月之前,将支持先前的响应作 (AlertAndBlock 和 Alert) 。 在此日期之后,所有客户都必须使用本节中列出的作类型之一。

Json 表示形式

{
    "id": "994",
    "indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
    "indicatorType": "FileSha256",
    "action": "AlertAndBlock",
    "application": null,
    "source": "user@contoso.onmicrosoft.com",
    "sourceType": "User",
    "createdBy": "user@contoso.onmicrosoft.com",
    "severity": "Informational",
    "title": "Michael test",
    "description": "test",
    "recommendedActions": "nothing",
    "creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
    "expirationTime": null,
    "lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
    "lastUpdatedBy": null,
    "rbacGroupNames": ["team1"]
}
  • Last updated on