سرد واجهة برمجة تطبيقات الحوادث في Microsoft Defender XDR
ينطبق على:
ملاحظة
جرب واجهات برمجة التطبيقات الجديدة باستخدام واجهة برمجة تطبيقات أمان MS Graph. تعرف على المزيد في: استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn.
هام
تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.
وصف واجهة برمجة التطبيقات
تسمح لك واجهة برمجة تطبيقات حوادث القائمة بالفرز عبر الحوادث لإنشاء استجابة مستنيرة للأمان عبر الإنترنت. يعرض مجموعة من الحوادث التي تم وضع علامة عليها في شبكتك، ضمن النطاق الزمني الذي حددته في نهج استبقاء البيئة. يتم عرض أحدث الحوادث في أعلى القائمة. يحتوي كل حادث على صفيف من التنبيهات ذات الصلة والكيانات ذات الصلة.
تدعم واجهة برمجة التطبيقات عوامل تشغيل OData التالية:
-
$filterعلى الخصائصlastUpdateTimeوstatuscreatedTimeو وassignedTo -
$top، بقيمة قصوى 100 $skip
القيود
- الحد الأقصى لحجم الصفحة هو 100 حادث.
- الحد الأقصى لمعدل الطلبات هو 50 مكالمة في الدقيقةو1500 مكالمة في الساعة.
الأذونات
أحد الأذونات التالية مطلوب لاستدعاء واجهة برمجة التطبيقات هذه. لمعرفة المزيد، بما في ذلك كيفية اختيار الأذونات، راجع Access Microsoft Defender XDR APIs
| نوع الإذن | اذن | اسم عرض الإذن |
|---|---|---|
| Application | Incident.Read.All | قراءة جميع الحوادث |
| Application | Incident.ReadWrite.All | قراءة وكتابة جميع الحوادث |
| مفوض (حساب العمل أو المؤسسة التعليمية) | Incident.Read | قراءة الحوادث |
| مفوض (حساب العمل أو المؤسسة التعليمية) | Incident.ReadWrite | أحداث القراءة والكتابة |
ملاحظة
عند الحصول على رمز مميز باستخدام بيانات اعتماد المستخدم:
- يحتاج المستخدم إلى إذن عرض للحوادث في المدخل.
- ستتضمن الاستجابة فقط الحوادث التي يتعرض لها المستخدم.
طلب HTTP
GET /api/incidents
عناوين الطلبات
| الاسم | نوع | الوصف |
|---|---|---|
| التخويل | سلسلة | الحامل {token}. مطلوب |
نص الطلب
اي.
استجابه
إذا نجحت، يقوم هذا الأسلوب بإرجاع 200 OK، وقائمة بالحوادث في نص الاستجابة.
تعيين المخطط
بيانات تعريف الحادث
| اسم الحقل | الوصف | مثال على القيمة |
|---|---|---|
| معرف الحدث | معرف فريد لتمثيل الحدث | 924565 |
| redirectIncidentId | يتم ملؤه فقط في حالة تجميع حدث مع حادث آخر، كجزء من منطق معالجة الحدث. | 924569 |
| اسم الحدث | قيمة السلسلة المتوفرة لكل حادث. | نشاط برامج الفدية الضارة |
| وقت الإنشاء | الوقت الذي تم فيه إنشاء الحدث لأول مرة. | 2020-09-06T14:46:57.0733333Z |
| lastUpdateTime | الوقت الذي تم فيه آخر تحديث للحادث على الواجهة الخلفية. يمكن استخدام هذا الحقل عند تعيين معلمة الطلب لنطاق الوقت الذي يتم فيه استرداد الحوادث. |
2020-09-06T14:46:57.29Z |
| معين إلى | مالك الحدث، أو خال إذا لم يتم تعيين مالك. | secop2@contoso.com |
| تصنيف | مواصفات الحادث. قيم الخاصية هي: غير معروف، FalsePositive، TruePositive | غير معروف |
| تحديد | تحديد تحديد الحدث. قيم الخصائص هي: NotAvailable، Apt، Malware، SecurityPersonnel، SecurityTesting، OtherSoftware، Other | غير متوفر |
| مصدر الكشف | يحدد مصدر الكشف. | Defender for Cloud Apps |
| حاله | تصنيف الحوادث (على أنها نشطة أو تم حلها). يمكن أن يساعدك في تنظيم الاستجابة للحوادث وإدارتها. | النشطه |
| شده | يشير إلى التأثير المحتمل على الأصول. كلما ارتفعت الخطورة كلما كان التأثير أكبر. عادة ما تتطلب العناصر ذات الخطورة الأعلى الانتباه الأكثر إلحاحا. إحدى القيم التالية: معلوماتية، منخفضة، *متوسطة، وعالية. |
المتوسطه |
| العلامات | صفيف من العلامات المخصصة المقترنة بحادث، على سبيل المثال لوضع علامة على مجموعة من الحوادث ذات السمة الشائعة. | [] |
| تعليقات | صفيف التعليقات التي تم إنشاؤها بواسطة secops عند إدارة الحدث، على سبيل المثال معلومات إضافية حول تحديد التصنيف. | [] |
| تنبيهات | صفيف يحتوي على جميع التنبيهات المتعلقة بالحادث، بالإضافة إلى معلومات أخرى، مثل الخطورة والكيانات التي شاركت في التنبيه ومصدر التنبيهات. | [] (راجع التفاصيل حول حقول التنبيه أدناه) |
بيانات تعريف التنبيهات
| اسم الحقل | الوصف | مثال على القيمة |
|---|---|---|
| معرف التنبيه | معرف فريد لتمثيل التنبيه | caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC |
| معرف الحدث | معرف فريد لتمثيل الحدث الذي يرتبط به هذا التنبيه | 924565 |
| مصدر الخدمة | الخدمة التي ينشأ منها التنبيه، مثل Microsoft Defender لنقطة النهاية أو Microsoft Defender for Cloud Apps أو Microsoft Defender for Identity أو Microsoft Defender لـ Office 365. | MicrosoftCloudAppSecurity |
| وقت الإنشاء | الوقت الذي تم فيه إنشاء التنبيه لأول مرة. | 2020-09-06T14:46:55.7182276Z |
| lastUpdatedTime | الوقت الذي تم فيه آخر تحديث للتنبيه في الخلفية. | 2020-09-06T14:46:57.2433333Z |
| وقت الحل | الوقت الذي تم فيه حل التنبيه. | 2020-09-10T05:22:59Z |
| النشاط الأول | الوقت الذي أبلغ فيه التنبيه لأول مرة عن تحديث النشاط في الخلفية. | 2020-09-04T05:22:59Z |
| عنوان | موجز يحدد قيمة السلسلة المتوفرة لكل تنبيه. | نشاط برامج الفدية الضارة |
| وصف | قيمة سلسلة تصف كل تنبيه. | قام المستخدم Test User2 (testUser2@contoso.com) بمعالجة 99 ملفا بملحقات متعددة تنتهي بالملحق غير المألوف herunterladen. هذا عدد غير عادي من معالجة الملفات ويدل على هجوم برامج الفدية الضارة المحتملة. |
| الفئه | عرض مرئي و رقمي لمدى تقدم الهجوم على طول سلسلة القتل. متوافق مع إطار عمل MITRE ATT&CK™. | اثر |
| حاله | تصنيف التنبيهات (على أنها جديدة أو نشطة أو تم حلها). يمكن أن يساعدك في تنظيم الاستجابة للتنبيهات وإدارتها. | الجديد |
| شده | يشير إلى التأثير المحتمل على الأصول. كلما ارتفعت الخطورة كلما كان التأثير أكبر. عادة ما تتطلب العناصر ذات الخطورة الأعلى الانتباه الأكثر إلحاحا. إحدى القيم التالية: معلوماتية، منخفضة، متوسطة، وعالية. |
المتوسطه |
| معرف التحقيق | معرف التحقيق التلقائي الذي تم تشغيله بواسطة هذا التنبيه. | 1234 |
| حالة التحقيق | معلومات عن الوضع الحالي للتحقيق. إحدى القيم التالية: Unknown, Terminated, SuccessfullyRemediated, Benign, Failed, PartiallyRemediated, Running, PendingApproval, PendingResource, PartiallyInvestigated, TerminatedByUser, TerminatedBySystem, Queued, InnerFailure, PreexistingAlert, UnsupportedOs, UnsupportedAlertType, SuppressedAlert. | UnsupportedAlertType |
| تصنيف | مواصفات الحادث. قيم الخاصية هي: غير معروف أو FalsePositive أو TruePositive أو null | غير معروف |
| تحديد | تحديد تحديد الحدث. قيم الخصائص هي: NotAvailable أو Aptأو Malware أو SecurityPersonnel أو SecurityTesting أو UnwantedSoftware أو Other أو null | عرضه |
| معين إلى | مالك الحدث، أو خال إذا لم يتم تعيين مالك. | secop2@contoso.com |
| اسم المستخدم | مجموعة النشاط، إن وجدت، المقترنة بهذا التنبيه. | البورون |
| threatFamilyName | عائلة التهديد المقترنة بهذا التنبيه. | فارغه |
| mitreTechniques | تقنيات الهجوم، كما تتماشى مع إطار عمل MITRE ATT&CK™. | [] |
| الاجهزه | جميع الأجهزة التي تم فيها إرسال التنبيهات المتعلقة بالحادث. | [] (راجع التفاصيل حول حقول الكيان أدناه) |
تنسيق الجهاز
| اسم الحقل | الوصف | مثال على القيمة |
|---|---|---|
| معرف الجهاز | معرف الجهاز كما هو معين في Microsoft Defender لنقطة النهاية. | 24c222b0b60fe148eeece49ac83910cc6a7ef491 |
| aadDeviceId | معرف الجهاز كما هو معين في Microsoft Entra ID. متوفر فقط للأجهزة المرتبطة بالمجال. | فارغه |
| deviceDnsName | اسم المجال المؤهل بالكامل للجهاز. | user5cx.middleeast.corp.contoso.com |
| osPlatform | النظام الأساسي لنظام التشغيل الذي يعمل به الجهاز. | WindowsServer2016 |
| osBuild | إصدار البناء لنظام التشغيل الذي يعمل عليه الجهاز. | 14393 |
| rbacGroupName | مجموعة التحكم في الوصول استنادا إلى الدور (RBAC) المقترنة بالجهاز. | WDATP-Ring0 |
| firstSeen | الوقت الذي شوهد فيه الجهاز لأول مرة. | 2020-02-06T14:16:01.9330135Z |
| healthStatus | الحالة الصحية للجهاز. | النشطه |
| riskScore | درجة المخاطر للجهاز. | عاليه |
| الكيانات | جميع الكيانات التي تم تحديدها لتكون جزءا من تنبيه معين أو مرتبطة به. | [] (راجع التفاصيل حول حقول الكيان أدناه) |
تنسيق الكيان
| اسم الحقل | الوصف | مثال على القيمة |
|---|---|---|
| نوع الكيان | الكيانات التي تم تحديدها لتكون جزءا من تنبيه معين أو مرتبطة به. قيم الخصائص هي: UserوIp و Url و File و Process و MailBox و MailMessage و MailCluster و Registry |
User |
| sha1 | متوفر إذا كان entityType هو File. تجزئة الملف للتنبيهات المقترنة بملف أو عملية. |
5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd |
| Sha256 | متوفر إذا كان entityType هو File. تجزئة الملف للتنبيهات المقترنة بملف أو عملية. |
28cb017dfc99073aa1b47c1b30f413e3ce774c4991eb4158de50f9dbb36d8043 |
| Filename | متوفر إذا كان entityType هو File. اسم الملف للتنبيهات المقترنة بملف أو عملية |
Detector.UnitTests.dll |
| مسار الملف | متوفر إذا كان entityType هو File. مسار الملف للتنبيهات المقترنة بملف أو عملية |
C:\\agent_work_temp\Deploy\SYSTEM\2020-09-06 12_14_54\Out |
| معرف العملية | متوفر إذا كان entityType هو Process. | 24348 |
| processCommandLine | متوفر إذا كان entityType هو Process. | "الملف جاهز Download_1911150169.exe" |
| ProcessCreationTime | متوفر إذا كان entityType هو Process. | 2020-07-18T03:25:38.5269993Z |
| parentProcessId | متوفر إذا كان entityType هو Process. | 16840 |
| parentProcessCreationTime | متوفر إذا كان entityType هو Process. | 2020-07-18T02:12:32.8616797Z |
| Ipaddress | متوفر إذا كان entityType هو Ip. عنوان IP للتنبيهات المرتبطة بأحداث الشبكة، مثل الاتصال بوجهة شبكة ضارة. |
62.216.203.204 |
| Url | متوفر إذا كان entityType هو Url. Url للتنبيهات المرتبطة بأحداث الشبكة، مثل الاتصال بوجهة شبكة ضارة. |
down.esales360.cn |
| اسم الحساب | متوفر إذا كان entityType هو User. | testUser2 |
| Domainname | متوفر إذا كان entityType هو User. | europe.corp.contoso |
| معرف المستخدم | متوفر إذا كان entityType هو User. | S-1-5-21-1721254763-462695806-1538882281-4156657 |
| معرف aadUser | متوفر إذا كان entityType هو User. | fc8f7484-f813-4db2-afab-bc1507913fb6 |
| userPrincipalName | متوفر إذا كان entityType هو User/MailBox/MailMessage. | testUser2@contoso.com |
| mailboxDisplayName | متوفر إذا كانت entityType هي MailBox. | اختبار User2 |
| عنوان علبة البريد | متوفر إذا كان entityType هو User/MailBox/MailMessage. | testUser2@contoso.com |
| clusterBy | متوفر إذا كان entityType هو MailCluster. | الموضوع; P2SenderDomain; نوع المحتوى |
| المرسل | متوفر إذا كان entityType هو User/MailBox/MailMessage. | user.abc@mail.contoso.co.in |
| المستلم | متوفر إذا كان entityType هو MailMessage. | testUser2@contoso.com |
| الموضوع | متوفر إذا كان entityType هو MailMessage. | [خارجي] الاهتمام |
| التسليمAction | متوفر إذا كان entityType هو MailMessage. | تسليم |
| معرف مجموعة الأمان | متوفر إذا كانت entityType هي SecurityGroup. | 301c47c8-e15f-4059-ab09-e2ba9ffd372b |
| اسم مجموعة الأمان | متوفر إذا كانت entityType هي SecurityGroup. | عوامل تشغيل تكوين الشبكة |
| سجلHive | متوفر إذا كان entityType هو Registry. | Hkey_local_machine |
| مفتاح التسجيل | متوفر إذا كان entityType هو Registry. | SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon |
| نوع قيمة السجل | متوفر إذا كان entityType هو Registry. | سلسلة |
| قيمة السجل | متوفر إذا كان entityType هو Registry. | 31-00-00-00 |
| معرف الجهاز | معرف الجهاز المرتبط بالوحدة، إن وجد. | 986e5df8b73dacd43c8917d17e523e76b13c75cd |
المثال
مثال على الطلب
GET https://api.security.microsoft.com/api/incidents
مثال على الاستجابة
{
"@odata.context": "https://api.security.microsoft.com/api/$metadata#Incidents",
"value": [
{
"incidentId": 924565,
"redirectIncidentId": null,
"incidentName": "Ransomware activity",
"createdTime": "2020-09-06T14:46:57.0733333Z",
"lastUpdateTime": "2020-09-06T14:46:57.29Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Medium",
"tags": [],
"comments": [
{
"comment": "test comment for docs",
"createdBy": "secop123@contoso.com",
"createdTime": "2021-01-26T01:00:37.8404534Z"
}
],
"alerts": [
{
"alertId": "caD70CFEE2-1F54-32DB-9988-3A868A1EBFAC",
"incidentId": 924565,
"serviceSource": "MicrosoftCloudAppSecurity",
"creationTime": "2020-09-06T14:46:55.7182276Z",
"lastUpdatedTime": "2020-09-06T14:46:57.2433333Z",
"resolvedTime": null,
"firstActivity": "2020-09-04T05:22:59Z",
"lastActivity": "2020-09-04T05:22:59Z",
"title": "Ransomware activity",
"description": "The user Test User2 (testUser2@contoso.com) manipulated 99 files with multiple extensions ending with the uncommon extension herunterladen. This is an unusual number of file manipulations and is indicative of a potential ransomware attack.",
"category": "Impact",
"status": "New",
"severity": "Medium",
"investigationId": null,
"investigationState": "UnsupportedAlertType",
"classification": null,
"determination": null,
"detectionSource": "MCAS",
"assignedTo": null,
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "User",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": "testUser2",
"domainName": "europe.corp.contoso",
"userSid": "S-1-5-21-1721254763-462695806-1538882281-4156657",
"aadUserId": "fc8f7484-f813-4db2-afab-bc1507913fb6",
"userPrincipalName": "testUser2@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "62.216.203.204",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
{
"incidentId": 924521,
"redirectIncidentId": null,
"incidentName": "'Mimikatz' hacktool was detected on one endpoint",
"createdTime": "2020-09-06T12:18:03.6266667Z",
"lastUpdateTime": "2020-09-06T12:18:03.81Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Low",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "da637349914833441527_393341063",
"incidentId": 924521,
"serviceSource": "MicrosoftDefenderATP",
"creationTime": "2020-09-06T12:18:03.3285366Z",
"lastUpdatedTime": "2020-09-06T12:18:04.2566667Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:15:07.7272048Z",
"lastActivity": "2020-09-06T12:15:07.7272048Z",
"title": "'Mimikatz' hacktool was detected",
"description": "Readily available tools, such as hacking programs, can be used by unauthorized individuals to spy on users. When used by attackers, these tools are often installed without authorization and used to compromise targeted machines.\n\nThese tools are often used to collect personal information from browser records, record key presses, access email and instant messages, record voice and video conversations, and take screenshots.\n\nThis detection might indicate that Microsoft Defender Antivirus has stopped the tool from being installed and used effectively. However, it is prudent to check the machine for the files and processes associated with the detected tool.",
"category": "Malware",
"status": "New",
"severity": "Low",
"investigationId": null,
"investigationState": "UnsupportedOs",
"classification": null,
"determination": null,
"detectionSource": "WindowsDefenderAv",
"assignedTo": null,
"actorName": null,
"threatFamilyName": "Mimikatz",
"mitreTechniques": [],
"devices": [
{
"mdatpDeviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491",
"aadDeviceId": null,
"deviceDnsName": "user5cx.middleeast.corp.contoso.com",
"osPlatform": "WindowsServer2016",
"version": "1607",
"osProcessor": "x64",
"osBuild": 14393,
"healthStatus": "Active",
"riskScore": "High",
"rbacGroupName": "WDATP-Ring0",
"rbacGroupId": 9,
"firstSeen": "2020-02-06T14:16:01.9330135Z"
}
],
"entities": [
{
"entityType": "File",
"sha1": "5de839186691aa96ee2ca6d74f0a38fb8d1bd6dd",
"sha256": null,
"fileName": "Detector.UnitTests.dll",
"filePath": "C:\\Agent\\_work\\_temp\\Deploy_SYSTEM 2020-09-06 12_14_54\\Out",
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": "24c222b0b60fe148eeece49ac83910cc6a7ef491"
}
]
}
]
},
{
"incidentId": 924518,
"redirectIncidentId": null,
"incidentName": "Email reported by user as malware or phish",
"createdTime": "2020-09-06T12:07:55.1366667Z",
"lastUpdateTime": "2020-09-06T12:07:55.32Z",
"assignedTo": null,
"classification": "Unknown",
"determination": "NotAvailable",
"status": "Active",
"severity": "Informational",
"tags": [],
"comments": [],
"alerts": [
{
"alertId": "faf8edc936-85f8-a603-b800-08d8525cf099",
"incidentId": 924518,
"serviceSource": "OfficeATP",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"resolvedTime": null,
"firstActivity": "2020-09-06T12:04:00Z",
"lastActivity": "2020-09-06T12:04:00Z",
"title": "Email reported by user as malware or phish",
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2",
"category": "InitialAccess",
"status": "InProgress",
"severity": "Informational",
"investigationId": null,
"investigationState": "Queued",
"classification": null,
"determination": null,
"detectionSource": "OfficeATP",
"assignedTo": "Automation",
"actorName": null,
"threatFamilyName": null,
"mitreTechniques": [],
"devices": [],
"entities": [
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser3@contoso.com",
"mailboxDisplayName": "test User3",
"mailboxAddress": "testUser3@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailBox",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "testUser4@contoso.com",
"mailboxDisplayName": "test User4",
"mailboxAddress": "test.User4@contoso.com",
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailMessage",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": "test.User4@contoso.com",
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": "user.abc@mail.contoso.co.in",
"recipient": "test.User4@contoso.com",
"subject": "[EXTERNAL] Attention",
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "Subject;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;P2SenderDomain;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "MailCluster",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": null,
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": "BodyFingerprintBin1;SenderIp;ContentType",
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
},
{
"entityType": "Ip",
"sha1": null,
"sha256": null,
"fileName": null,
"filePath": null,
"processId": null,
"processCommandLine": null,
"processCreationTime": null,
"parentProcessId": null,
"parentProcessCreationTime": null,
"ipAddress": "49.50.81.121",
"url": null,
"accountName": null,
"domainName": null,
"userSid": null,
"aadUserId": null,
"userPrincipalName": null,
"mailboxDisplayName": null,
"mailboxAddress": null,
"clusterBy": null,
"sender": null,
"recipient": null,
"subject": null,
"deliveryAction": null,
"securityGroupId": null,
"securityGroupName": null,
"registryHive": null,
"registryKey": null,
"registryValueType": null,
"registryValue": null,
"deviceId": null
}
]
}
]
},
...
]
}
المقالات ذات الصلة
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.