屬性
| 屬性 | 類型 | 描述 |
|---|---|---|
| id | 字串 | 指標實體的身份。 |
| 指標值 | 字串 | 指標的價值。 |
| 指示類型 | Enum | 指示器的類型。 可能的值有:FileSha1、CertificateThumbprintFileMd5IpAddressFileSha256DomainName和。Url |
| 應用程式 | 字串 | 與指示器相關的應用。 |
| action | Enum | 當該指標在組織中被發現時,所採取的行動。 可能的值有:Warn、AlertAuditAlertAndBlockBlockBlockAndRemediate和。Allowed |
| externalID | 字串 | 客戶可以提交自訂關聯申請。 |
| 來源類型 | Enum |
User 例如,使用者建立的指標 (入口網站) ,若 AadApp 透過 API 透過自動化應用程式提交。 |
| 由來源創建 | 字串 | 提交指示器的使用者或應用程式名稱。 |
| 由 | 字串 | 提交指標的使用者/應用程式的唯一身份。 |
| 最後更新:由 | 字串 | 最後更新指示器的使用者或應用程式身份。 |
| 創作時間日期時間UTC | 日期時間偏移 | 指示器建立的日期和時間。 |
| 有效期 | 日期時間偏移 | 指示器的過期時間。 |
| 上次更新時間 | 日期時間偏移 | 上次指示器更新的時候。 |
| 嚴重 | Enum | 指標的嚴重程度。 可能的值有:Informational、 LowMediumHigh和 。 |
| title | 字串 | 指示器標題。 |
| 描述 | 字串 | 指示器的說明。 |
| 建議行動 | 字串 | 指示器的建議行動。 |
| rbacGroupNames | 字串列表 | RBAC 裝置群組名稱指示器暴露及啟用位置。 將清單清空,以防所有裝置都暴露。 |
| rbacGroupIds | 字串列表 | RBAC 裝置群組 ID 顯示指示器暴露且啟用的區域。 將清單清空,以防所有裝置都暴露。 |
| 生成警報 | Enum | 如果需要產生警報,則為 True;如果這個指示器不應該產生警報,則為 False。 |
指示器類型
API 支援的指示器動作類型包括:
- 允許
- 稽核
- 封鎖
- 阻擋與修復
- 只 (Defender for Cloud Apps)
欲了解更多回應行動類型的描述,請參見 「建立指標」。
注意事項
先前的應對措施 (AlertAndBlock 及 Alert) 將持續支援至 2022 年 1 月。 在此日期之後,所有客戶必須使用本節列出的行動類型之一。
JSON 表示法
{
"id": "994",
"indicatorValue": "881c0f10c75e64ec39d257a131fcd531f47dd2cff2070ae94baa347d375126fd",
"indicatorType": "FileSha256",
"action": "AlertAndBlock",
"application": null,
"source": "user@contoso.onmicrosoft.com",
"sourceType": "User",
"createdBy": "user@contoso.onmicrosoft.com",
"severity": "Informational",
"title": "Michael test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2019-12-19T09:09:46.9139216Z",
"expirationTime": null,
"lastUpdateTime": "2019-12-19T09:09:47.3358111Z",
"lastUpdatedBy": null,
"rbacGroupNames": ["team1"]
}