Microsoft Graph Security (zastaralé) [ZASTARALÉ]
Konektor Microsoft Graph Security pomáhá propojit různé produkty a služby zabezpečení Microsoftu a partnerů, pomocí jednotného schématu, zjednodušit operace zabezpečení a zlepšit ochranu před hrozbami, detekci a možnosti reakce. Další informace o integraci s rozhraním Microsoft Graph Security API najdete v https://aka.ms/graphsecuritydocs tématu (zastaralé)
Tento konektor je dostupný v následujících produktech a oblastech:
| Service | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Všechny oblasti Power Automate s výjimkou následujících: – státní správa USA (GCC) – státní správa USA (GCC High) - China Cloud provozovaný společností 21Vianet - Ministerstvo obrany USA (DoD) |
| Logic Apps | Standard | Všechny oblasti Logic Apps s výjimkou následujících: – Oblasti Azure Government – Oblasti Azure China - Ministerstvo obrany USA (DoD) |
| Power Apps | Premium | Všechny oblasti Power Apps s výjimkou následujících: – státní správa USA (GCC) – státní správa USA (GCC High) - China Cloud provozovaný společností 21Vianet - Ministerstvo obrany USA (DoD) |
| Power Automate | Premium | Všechny oblasti Power Automate s výjimkou následujících: – státní správa USA (GCC) – státní správa USA (GCC High) - China Cloud provozovaný společností 21Vianet - Ministerstvo obrany USA (DoD) |
| Kontakt | |
|---|---|
| Název | Microsoft |
| URL |
Podpora Microsoft LogicApps Podpora microsoft Power Automate Podpora Microsoft Power Apps |
| sipsisgdev@microsoft.com |
| Metadata konektoru | |
|---|---|
| Vydavatel | Microsoft |
| Internetová stránka | https://www.microsoft.com/security/business/graph-security-api |
Požadavky na připojení pomocí konektoru Microsoft Graph Security
Přečtěte si další informace o rozhraní Microsoft Graph Security API.
Pokud chcete použít akci konektoru Microsoft Graph Security , začněte triggerem, například triggerem Opakování.
Pokud chcete používat konektor Microsoft Graph Security, musí být v rámci požadavků na ověřování Microsoft Graph Security poskytnut souhlas správce tenanta Microsoft Entra ID.
ID a název aplikace konektoru Microsoft Graph Security (pro Id Microsoft Entra v https://portal.azure.com) je následující pro souhlas správce Microsoft Entra ID:
- Název aplikace – MicrosoftGraphSecurityConnector
- ID aplikace - c4829704-0edc-4c3d-a347-7c4a67586f3c
- Správce tenanta může buď postupovat podle kroků uvedených v udělení souhlasu správce tenanta pro aplikace Microsoft Entra ID výše uvedené aplikace, nebo může udělit oprávnění při počátečním spuštění pracovního postupu pomocí konektoru Microsoft Graph Security podle prostředí souhlasu aplikace.
Teď jste připraveni použít konektor Microsoft Graph Security.
Konektor do hloubky
Další informace o konektoru najdete v podrobné části.
Vytvoření připojení
Konektor podporuje následující typy ověřování:
| výchozí | Parametry pro vytvoření připojení | Všechny oblasti | Nesdílitelné |
Výchozí
Použitelné: Všechny oblasti
Parametry pro vytvoření připojení
Toto připojení není možné sdílet. Pokud se power app sdílí s jiným uživatelem, zobrazí se výzva k explicitní vytvoření nového připojení.
Limity omezování
| Name | Volání | Období obnovení |
|---|---|---|
| Volání rozhraní API na připojení | 100 | 60 sekund |
Akce
| Aktualizace předplatného (zastaralé) [ZASTARALÉ] |
Prodloužení předplatného webhooku v Microsoft Graphu aktualizací doby vypršení platnosti (zastaralé). |
|
Aktualizace ti |
Aktualizace konkrétních vlastností indikátoru analýzy hrozeb Povinná pole pro tiIndicator jsou ID, expirationDateTime a targetProduct (zastaralé). |
|
Aktualizace více ti |
Aktualizace konkrétních vlastností více indikátorů analýzy hrozeb Povinná pole pro každý tiIndicator jsou: ID, expirationDateTime a targetProduct (zastaralé). |
|
Odeslání více ti |
Vytvořte nové indikátory analýzy hrozeb publikováním kolekce tiIndicators. Povinná pole pro každý tiIndicator jsou: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel (zastaralé). |
| Odstranění předplatných (zastaralé) [ZASTARALÉ] |
Odstraňte konkrétní předplatné Webhooku Microsoft Graphu (zastaralé). |
|
Odstranění ti |
Odstraňte indikátor analýzy hrozeb odpovídající zadanému ID (zastaralé). |
|
Odstranění více ti |
Odstraňte několik indikátorů analýzy hrozeb odpovídající zadaným ID (zastaralé). |
|
Odstranění více ti |
Odstraňte několik indikátorů analýzy hrozeb odpovídající zadaným externím ID (zastaralé). |
| Upozornění na aktualizaci (zastaralé) [ZASTARALÉ] |
Aktualizace konkrétních vlastností výstrahy zabezpečení (zastaralé) |
|
Vytvoření ti |
Vytvořte nový indikátor analýzy hrozeb publikováním do kolekce tiIndicators (zastaralé). |
| Vytváření předplatných (zastaralé) [ZASTARALÉ] |
Vytváření předplatných webhooků Microsoft Graphu (zastaralé) |
| Získání aktivních předplatných (zastaralé) [ZASTARALÉ] |
Získejte seznam nevyexpirovaných předplatných pro tohoto tenanta Microsoft Entra ID (zastaralé). |
|
Získání ti |
Získejte seznam indikátorů analýzy hrozeb pro tohoto tenanta Microsoft Entra ID. Používá se s různými parametry dotazu (zastaralé). |
|
Získání ti |
Získejte indikátor analýzy hrozeb odpovídající zadanému ID (zastaralé). |
| Získání upozornění (zastaralé) [ZASTARALÉ] |
Získejte seznam výstrah zabezpečení pro tohoto tenanta Microsoft Entra ID. Používá se s různými parametry dotazu (zastaralé). |
| Získání upozornění podle ID (zastaralé) [ZASTARALÉ] |
Získejte výstrahu zabezpečení odpovídající zadanému ID (zastaralé). |
Aktualizace předplatného (zastaralé) [ZASTARALÉ]
Prodloužení předplatného webhooku v Microsoft Graphu aktualizací doby vypršení platnosti (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
Identifikátor předplatného
|
Subscription Id | True | string |
Zadejte ID předplatného webhooku Microsoft Graphu. |
|
Datum vypršení platnosti
|
expirationDateTime | string |
Zadejte datum a čas ve formátu UTC, kdy vyprší platnost předplatného webhooku Microsoft Graphu. Maximální doba vypršení platnosti výstrah zabezpečení je 43200 minut (do 30 dnů). |
Návraty
Vrácená jedna entita předplatného
- Subscription
- Subscription
Aktualizace tiIndicator (zastaralé) [ZASTARALÉ]
Aktualizace konkrétních vlastností indikátoru analýzy hrozeb Povinná pole pro tiIndicator jsou ID, expirationDateTime a targetProduct (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
ID TiIndicatoru
|
indicator-id | True | string |
Zadejte ID indikátoru analýzy hrozeb. |
|
Činnost
|
action | string |
Akce, která se má použít, pokud se indikátor shoduje s nástrojem zabezpečení targetProduct. Hodnoty: (neznámé, povolit, blokovat, upozornění). |
|
|
Názvy skupin aktivit
|
activityGroupNames | array of string |
Názvy analýz kybernetických hrozeb pro strany zodpovědné za škodlivou aktivitu pokrytou indikátorem hrozby. |
|
|
Další informace
|
additionalInformation | string |
Další údaje z ukazatele, na který se nevztahují ostatní vlastnosti tiIndicatoru, mohou být umístěny |
|
|
Spolehlivost
|
confidence | integer |
Spolehlivost logiky detekce (procento mezi 0–100) |
|
|
Description
|
description | string |
Popis TiIndicatoru (100 znaků nebo méně) |
|
|
Kosočtvercový model
|
diamondModel | string |
Oblast kosočtvercového modelu, ve kterém tento ukazatel existuje. Hodnoty: (neznámý, nežádoucí osoba, schopnost, infrastruktura, oběť). |
|
|
Datum vypršení platnosti
|
expirationDateTime | True | date-time |
Čas, kdy vyprší platnost ukazatele (formát UTC). Například 2020-03-01T00:00:00Z). |
|
Externí ID
|
externalId | string |
Identifikační číslo, které spojuje indikátor zpět do systému poskytovatele ukazatele (např. cizí klíč). |
|
|
Je aktivní
|
isActive | boolean |
Ve výchozím nastavení se jakýkoli odeslaný indikátor nastaví jako aktivní. Poskytovatelé však mohou odesílat existující indikátory s touto sadou na hodnotu False, aby deaktivovali indikátory v systému. |
|
|
Kill chain
|
killChain | array of string |
řetězce, které popisují, který bod nebo body v rámci kill chainu tento ukazatel cílí. Hodnoty: (Actions, C2, Delivery, Exploitation, Installation, Rekognoskace, Zbraňizace). |
|
|
Známé falešně pozitivní výsledky
|
knownFalsePositives | string |
Scénáře, ve kterých může indikátor způsobit falešně pozitivní výsledky |
|
|
Datum posledního nahlášení
|
lastReportedDateTime | date-time |
Čas posledního výskytu indikátoru (UTC). |
|
|
Jména rodin malwaru
|
malwareFamilyNames | array of string |
Název rodiny malwaru přidružený k indikátoru, pokud existuje. |
|
|
Pouze pasivní
|
passiveOnly | boolean |
Určuje, jestli má indikátor aktivovat událost, která je viditelná pro koncového uživatele. |
|
|
Závažnost
|
severity | integer |
Závažnost škodlivého chování identifikovaného daty v indikátoru Hodnoty jsou od 0 do 5, přičemž 5 je nejvíce závažné. Výchozí hodnota je 3. |
|
|
Štítky
|
tags | array of string | ||
|
Úroveň Tlp
|
tlpLevel | string |
Hodnota protokolu semaforu pro indikátor. Možné hodnoty jsou: neznámé, bílé, zelené, amber, červené. |
|
|
Cílový produkt
|
targetProduct | True | string |
Jeden bezpečnostní produkt, na který se má ukazatel použít. Přijatelné hodnoty jsou: Azure Sentinel, Microsoft Defender ATP. |
Aktualizace více tiIndicators (zastaralé) [ZASTARALÉ]
Aktualizace konkrétních vlastností více indikátorů analýzy hrozeb Povinná pole pro každý tiIndicator jsou: ID, expirationDateTime a targetProduct (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
identifikační číslo
|
id | True | string |
TiIndicator-id |
|
Činnost
|
action | string |
Akce, která se má použít, pokud se indikátor shoduje s nástrojem zabezpečení targetProduct. Hodnoty: (neznámé, povolit, blokovat, upozornění). |
|
|
Názvy skupin aktivit
|
activityGroupNames | array of string |
Názvy analýz kybernetických hrozeb pro strany zodpovědné za škodlivou aktivitu pokrytou indikátorem hrozby. |
|
|
Další informace
|
additionalInformation | string |
Další údaje z ukazatele, na který se nevztahují ostatní vlastnosti tiIndicatoru, mohou být umístěny |
|
|
Spolehlivost
|
confidence | integer |
Spolehlivost logiky detekce (procento mezi 0–100) |
|
|
Description
|
description | string |
Popis TiIndicatoru (100 znaků nebo méně) |
|
|
Kosočtvercový model
|
diamondModel | string |
Oblast kosočtvercového modelu, ve kterém tento ukazatel existuje. Hodnoty: (neznámý, nežádoucí osoba, schopnost, infrastruktura, oběť). |
|
|
Datum vypršení platnosti
|
expirationDateTime | True | date-time |
Čas, kdy vyprší platnost ukazatele (UTC). |
|
Cílový produkt
|
targetProduct | True | string |
Jeden bezpečnostní produkt, na který se má ukazatel použít. Přijatelné hodnoty jsou: Azure Sentinel, Microsoft Defender ATP. |
|
Externí ID
|
externalId | string |
Identifikační číslo, které spojuje indikátor zpět do systému poskytovatele ukazatele (např. cizí klíč). |
|
|
Je aktivní
|
isActive | boolean |
Ve výchozím nastavení se jakýkoli odeslaný indikátor nastaví jako aktivní. Poskytovatelé však mohou odesílat existující indikátory s touto sadou na hodnotu False, aby deaktivovali indikátory v systému. |
|
|
Kill chain
|
killChain | array of string |
řetězce, které popisují, který bod nebo body v rámci kill chainu tento ukazatel cílí. Hodnoty: (Actions, C2, Delivery, Exploitation, Installation, Rekognoskace, Zbraňizace). |
|
|
Známé falešně pozitivní výsledky
|
knownFalsePositives | string |
Scénáře, ve kterých může indikátor způsobit falešně pozitivní výsledky |
|
|
Datum posledního nahlášení
|
lastReportedDateTime | date-time |
Čas posledního výskytu indikátoru (UTC). |
|
|
Jména rodin malwaru
|
malwareFamilyNames | array of string |
Název rodiny malwaru přidružený k indikátoru, pokud existuje. |
|
|
Pouze pasivní
|
passiveOnly | boolean |
Určuje, jestli má indikátor aktivovat událost, která je viditelná pro koncového uživatele. |
|
|
Závažnost
|
severity | integer |
Závažnost škodlivého chování identifikovaného daty v indikátoru Hodnoty jsou od 0 do 5, přičemž 5 je nejvíce závažné. Výchozí hodnota je 3. |
|
|
Štítky
|
tags | array of string | ||
|
Úroveň Tlp
|
tlpLevel | string |
Hodnota protokolu semaforu pro indikátor. Možné hodnoty jsou: neznámé, bílé, zelené, amber, červené. |
Návraty
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
Aktualizace TiIndicators |
Odeslání více tiIndicátorů (zastaralé) [ZASTARALÉ]
Vytvořte nové indikátory analýzy hrozeb publikováním kolekce tiIndicators. Povinná pole pro každý tiIndicator jsou: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
Činnost
|
action | True | string |
Akce, která se má použít, pokud se indikátor shoduje s nástrojem zabezpečení targetProduct. Hodnoty: (neznámé, povolit, blokovat, upozornění). |
|
Názvy skupin aktivit
|
activityGroupNames | array of string |
Názvy analýz kybernetických hrozeb pro strany zodpovědné za škodlivou aktivitu pokrytou indikátorem hrozby. |
|
|
Další informace
|
additionalInformation | string |
Další údaje z ukazatele, na který se nevztahují ostatní vlastnosti tiIndicatoru, mohou být umístěny |
|
|
ID tenanta Azure
|
azureTenantId | string |
ID tenanta Microsoft Entra ID odesílání klienta. |
|
|
Spolehlivost
|
confidence | integer |
Spolehlivost logiky detekce (procento mezi 0–100) |
|
|
Description
|
description | True | string |
Popis TiIndicatoru (100 znaků nebo méně) |
|
Kosočtvercový model
|
diamondModel | string |
Oblast kosočtvercového modelu, ve kterém tento ukazatel existuje. Hodnoty: (neznámý, nežádoucí osoba, schopnost, infrastruktura, oběť). |
|
|
Datum vypršení platnosti
|
expirationDateTime | True | date-time |
Čas, kdy vyprší platnost ukazatele (UTC). |
|
Externí ID
|
externalId | string |
Identifikační číslo, které spojuje indikátor zpět do systému poskytovatele ukazatele (např. cizí klíč). |
|
|
Ingestované datum a čas
|
ingestedDateTime | date-time |
Čas, kdy se indikátor ingestuje (UTC). |
|
|
Je aktivní
|
isActive | boolean |
Ve výchozím nastavení se jakýkoli odeslaný indikátor nastaví jako aktivní. Poskytovatelé však mohou odesílat existující indikátory s touto sadou na hodnotu False, aby deaktivovali indikátory v systému. |
|
|
Kill chain
|
killChain | array of string |
řetězce, které popisují, který bod nebo body v rámci kill chainu tento ukazatel cílí. Hodnoty: (Actions, C2, Delivery, Exploitation, Installation, Rekognoskace, Zbraňizace). |
|
|
Známé falešně pozitivní výsledky
|
knownFalsePositives | string |
Scénáře, ve kterých může indikátor způsobit falešně pozitivní výsledky |
|
|
Datum posledního nahlášení
|
lastReportedDateTime | date-time |
Čas posledního výskytu indikátoru (UTC). |
|
|
Jména rodin malwaru
|
malwareFamilyNames | array of string |
Název rodiny malwaru přidružený k indikátoru, pokud existuje. |
|
|
Pouze pasivní
|
passiveOnly | boolean |
Určuje, jestli má indikátor aktivovat událost, která je viditelná pro koncového uživatele. |
|
|
Závažnost
|
severity | integer |
Závažnost škodlivého chování identifikovaného daty v indikátoru Hodnoty jsou od 0 do 5, přičemž 5 je nejvíce závažné. Výchozí hodnota je 3. |
|
|
Štítky
|
tags | array of string | ||
|
Cílový produkt
|
targetProduct | True | string |
Jeden bezpečnostní produkt, na který se má ukazatel použít. Přijatelné hodnoty jsou: Azure Sentinel, Microsoft Defender ATP. |
|
Typ hrozby
|
threatType | string |
Každý indikátor musí mít platný typ hrozby indikátoru. Možné hodnoty jsou: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
|
Úroveň Tlp
|
tlpLevel | string |
Hodnota protokolu semaforu pro indikátor. Možné hodnoty jsou: neznámé, bílé, zelené, amber, červené. |
|
|
Kódování e-mailu
|
emailEncoding | string |
Typ kódování textu použitý v e-mailu. |
|
|
Jazyk e-mailu
|
emailLanguage | string |
Jazyk e-mailu. |
|
|
Příjemce e-mailu
|
emailRecipient | string |
E-mailová adresa příjemce |
|
|
E-mailová adresa odesílatele
|
emailSenderAddress | string |
E-mailová adresa útočníka|victim. |
|
|
Jméno odesílatele e-mailu
|
emailSenderName | string |
Zobrazovaný název útočníka|victim. |
|
|
Zdrojová doména e-mailu
|
emailSourceDomain | string |
Doména použitá v e-mailu. |
|
|
Zdrojová IP adresa e-mailu
|
emailSourceIpAddress | string |
Zdrojová IP adresa e-mailu |
|
|
Email předmět
|
emailSubject | string |
Řádek předmětu e-mailu |
|
|
E-mail XMailer
|
emailXMailer | string |
Hodnota X-Mailer použitá v e-mailu |
|
|
Datum kompilace souboru
|
fileCompileDateTime | date-time |
DateTime při kompilaci souboru. |
|
|
Datum vytvoření souboru
|
fileCreatedDateTime | date-time |
DateTime při vytvoření souboru. |
|
|
Typ hodnoty hash souboru
|
fileHashType | string |
Typ hodnoty hash uložený v fileHashValue. Možné hodnoty jsou: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
|
Hodnota hash souboru
|
fileHashValue | string |
Hodnota hash souboru. |
|
|
Název mutex souboru
|
fileMutexName | string |
Název Mutex používaný v detekcích založených na souborech. |
|
|
Název souboru
|
fileName | string |
Název souboru, pokud je indikátor založený na souboru. |
|
|
Balíček souborů
|
filePacker | string |
Packer použitý k sestavení příslušného souboru. |
|
|
Cesta k souboru
|
filePath | string |
Cesta k souboru označujícím ohrožení zabezpečení Může to být cesta stylu Windows nebo *nix. |
|
|
Velikost souboru
|
fileSize | integer |
Velikost souboru v bajtech |
|
|
Typ souboru
|
fileType | string |
Textový popis typu souboru. Například "Word Document" nebo "Binary". |
|
|
Název domény
|
domainName | string |
Název domény přidružený k tomuto indikátoru |
|
|
Blok cidr sítě
|
networkCidrBlock | string |
Reprezentace zápisu bloku CIDR sítě odkazované v tomto indikátoru |
|
|
Cíl sítě Asn
|
networkDestinationAsn | integer |
Identifikátor cílového autonomního systému sítě odkazovaného v indikátoru. |
|
|
Blok cidr cíle sítě
|
networkDestinationCidrBlock | string |
Reprezentace zápisu bloku CIDR cílové sítě v tomto indikátoru |
|
|
Cílový síťový protokol IPv4
|
networkDestinationIPv4 | string |
Cíl IP adresy IPv4 |
|
|
Cílový síťový protokol IPv6
|
networkDestinationIPv6 | string |
Cíl IP adresy IPv6. |
|
|
Cílový port sítě
|
networkDestinationPort | integer |
Cíl portu TCP. |
|
|
IPv4 sítě
|
networkIPv4 | string |
IP adresa IPv4. |
|
|
IPv6 sítě
|
networkIPv6 | string |
IP adresa IPv6. |
|
|
Síťový port
|
networkPort | integer |
Port TCP. |
|
|
Síťový protokol
|
networkProtocol | integer |
Desítkové vyjádření pole protokolu v hlavičce IPv4. |
|
|
Zdroj sítě Asn
|
networkSourceAsn | integer |
Identifikátor zdrojového autonomního systému sítě odkazovaného v indikátoru. |
|
|
Blok cidr zdroje sítě
|
networkSourceCidrBlock | string |
Reprezentace zápisu bloku CIDR zdrojové sítě v tomto indikátoru |
|
|
IPv4 zdroje sítě
|
networkSourceIPv4 | string |
Zdroj IP adres IPv4. |
|
|
Cílový síťový protokol IPv6
|
networkSourceIPv6 | string |
Zdroj IP adres IPv6. |
|
|
Zdrojový port sítě
|
networkSourcePort | integer |
Zdroj portu TCP. |
|
|
URL
|
url | string |
Uniform Resource Locator. |
|
|
Uživatelský agent
|
userAgent | string |
User-Agent řetězec z webového požadavku, který by mohl značit ohrožení zabezpečení. |
Návraty
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
Odeslané tiIndicátory |
Odstranění předplatných (zastaralé) [ZASTARALÉ]
Odstraňte konkrétní předplatné Webhooku Microsoft Graphu (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
Identifikátor předplatného
|
Subscription Id | True | string |
Zadejte ID předplatného webhooku Microsoft Graphu. |
Odstranění tiIndicatoru podle ID (zastaralé) [ZASTARALÉ]
Odstraňte indikátor analýzy hrozeb odpovídající zadanému ID (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
ID TiIndicatoru
|
indicator-id | True | string |
Zadání ID indikátoru analýzy hrozeb |
Odstranění více tiIndicators podle ID (zastaralé) [ZASTARALÉ]
Odstraňte několik indikátorů analýzy hrozeb odpovídající zadaným ID (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
value
|
value | array of string |
Návraty
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
value
|
value | array of object | |
|
kód
|
value.code | integer |
Kód výsledku |
|
zpráva
|
value.message | string |
Zpráva |
|
podkód
|
value.subcode | integer |
Podkód výsledku |
Odstranění více tiIndicátorů externími ID (zastaralé) [ZASTARALÉ]
Odstraňte několik indikátorů analýzy hrozeb odpovídající zadaným externím ID (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
value
|
value | array of string |
Návraty
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
value
|
value | array of object | |
|
kód
|
value.code | integer |
Kód výsledku |
|
zpráva
|
value.message | string |
Zpráva |
|
podkód
|
value.subcode | integer |
Podkód výsledku |
Upozornění na aktualizaci (zastaralé) [ZASTARALÉ]
Aktualizace konkrétních vlastností výstrahy zabezpečení (zastaralé)
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
ID upozornění
|
alert-id | True | string |
Zadejte ID výstrahy. |
|
Přiřazeno komu
|
assignedTo | string |
Zadejte název analytika, ke kterému je výstraha přiřazena pro třídění, šetření nebo nápravu. |
|
|
Uzavřená hodnota dateTime
|
closedDateTime | string |
Zadejte čas, kdy se výstraha zavřela. Typ časového razítka představuje informace o datu a čase pomocí formátu ISO 8601 a vždy je v čase UTC. |
|
|
comments
|
comments | array of string |
Comments |
|
|
Štítky
|
tags | array of string |
Zadejte popisky definované uživatelem, které se dají použít u výstrahy, a můžou sloužit jako podmínky filtru (například "HVA", "SAW" atd.). |
|
|
Feedback
|
feedback | string |
Zadejte zpětnou vazbu analytika k upozornění. |
|
|
Stav
|
status | string |
Zadejte stav pro sledování stavu životního cyklu výstrahy (fáze). |
|
|
Název poskytovatele
|
provider | True | string |
Konkrétní poskytovatel (produkt/služba – společnost není dodavatel); Například WindowsDefenderATP. |
|
Verze zprostředkovatele
|
providerVersion | string |
Zadejte verzi poskytovatele nebo dílčího poskytovatele, pokud existuje, která výstrahu vygenerovala. |
|
|
Název dílčího zprostředkovatele
|
subProvider | string |
Konkrétní dílčí poskytovatel (v rámci agregátoru poskytovatele); Například WindowsDefenderATP.SmartScreen. |
|
|
Název dodavatele
|
vendor | True | string |
Zadejte název dodavatele upozornění (například Microsoft, Dell, FireEye). |
Vytvoření tiIndicatoru (zastaralé) [ZASTARALÉ]
Vytvořte nový indikátor analýzy hrozeb publikováním do kolekce tiIndicators (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
Činnost
|
action | True | string |
Akce, která se má použít, pokud se indikátor shoduje s nástrojem zabezpečení targetProduct. Hodnoty: (neznámé, povolit, blokovat, upozornění). |
|
Názvy skupin aktivit
|
activityGroupNames | array of string |
Názvy analýz kybernetických hrozeb pro strany zodpovědné za škodlivou aktivitu pokrytou indikátorem hrozby. |
|
|
Další informace
|
additionalInformation | string |
Další údaje z ukazatele, na který se nevztahují ostatní vlastnosti tiIndicatoru, mohou být umístěny |
|
|
ID tenanta Azure
|
azureTenantId | string |
ID tenanta Microsoft Entra ID odesílání klienta. |
|
|
Spolehlivost
|
confidence | integer |
Spolehlivost logiky detekce (procento mezi 0–100) |
|
|
Description
|
description | True | string |
Popis TiIndicatoru (100 znaků nebo méně) |
|
Kosočtvercový model
|
diamondModel | string |
Oblast kosočtvercového modelu, ve kterém tento ukazatel existuje. Hodnoty: (neznámý, nežádoucí osoba, schopnost, infrastruktura, oběť). |
|
|
Datum vypršení platnosti
|
expirationDateTime | True | date-time |
Čas, kdy vyprší platnost ukazatele (UTC). |
|
Externí ID
|
externalId | string |
Identifikační číslo, které spojuje indikátor zpět do systému poskytovatele ukazatele (např. cizí klíč). |
|
|
Ingestované datum a čas
|
ingestedDateTime | date-time |
Čas, kdy se indikátor ingestuje (UTC). |
|
|
Je aktivní
|
isActive | boolean |
Ve výchozím nastavení se jakýkoli odeslaný indikátor nastaví jako aktivní. Poskytovatelé však mohou odesílat existující indikátory s touto sadou na hodnotu False, aby deaktivovali indikátory v systému. |
|
|
Kill chain
|
killChain | array of string |
řetězce, které popisují, který bod nebo body v rámci kill chainu tento ukazatel cílí. Hodnoty: (Actions, C2, Delivery, Exploitation, Installation, Rekognoskace, Zbraňizace). |
|
|
Známé falešně pozitivní výsledky
|
knownFalsePositives | string |
Scénáře, ve kterých může indikátor způsobit falešně pozitivní výsledky |
|
|
Datum posledního nahlášení
|
lastReportedDateTime | date-time |
Čas posledního výskytu indikátoru (UTC). |
|
|
Jména rodin malwaru
|
malwareFamilyNames | array of string |
Název rodiny malwaru přidružený k indikátoru, pokud existuje. |
|
|
Pouze pasivní
|
passiveOnly | boolean |
Určuje, jestli má indikátor aktivovat událost, která je viditelná pro koncového uživatele. |
|
|
Závažnost
|
severity | integer |
Závažnost škodlivého chování identifikovaného daty v indikátoru Hodnoty jsou od 0 do 5, přičemž 5 je nejvíce závažné. Výchozí hodnota je 3. |
|
|
Štítky
|
tags | array of string | ||
|
Cílový produkt
|
targetProduct | True | string |
Jeden bezpečnostní produkt, na který se má ukazatel použít. Přijatelné hodnoty jsou: Azure Sentinel, Microsoft Defender ATP. |
|
Typ hrozby
|
threatType | string |
Každý indikátor musí mít platný typ hrozby indikátoru. Možné hodnoty jsou: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
|
Úroveň Tlp
|
tlpLevel | string |
Hodnota protokolu semaforu pro indikátor. Možné hodnoty jsou: neznámé, bílé, zelené, amber, červené. |
|
|
Kódování e-mailu
|
emailEncoding | string |
Typ kódování textu použitý v e-mailu. |
|
|
Jazyk e-mailu
|
emailLanguage | string |
Jazyk e-mailu. |
|
|
Příjemce e-mailu
|
emailRecipient | string |
E-mailová adresa příjemce |
|
|
E-mailová adresa odesílatele
|
emailSenderAddress | string |
E-mailová adresa útočníka|victim. |
|
|
Jméno odesílatele e-mailu
|
emailSenderName | string |
Zobrazovaný název útočníka|victim. |
|
|
Zdrojová doména e-mailu
|
emailSourceDomain | string |
Doména použitá v e-mailu. |
|
|
Zdrojová IP adresa e-mailu
|
emailSourceIpAddress | string |
Zdrojová IP adresa e-mailu |
|
|
Email předmět
|
emailSubject | string |
Řádek předmětu e-mailu |
|
|
E-mail XMailer
|
emailXMailer | string |
Hodnota X-Mailer použitá v e-mailu |
|
|
Datum kompilace souboru
|
fileCompileDateTime | date-time |
DateTime při kompilaci souboru. |
|
|
Datum vytvoření souboru
|
fileCreatedDateTime | date-time |
DateTime při vytvoření souboru. |
|
|
Typ hodnoty hash souboru
|
fileHashType | string |
Typ hodnoty hash uložený v fileHashValue. Možné hodnoty jsou: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
|
Hodnota hash souboru
|
fileHashValue | string |
Hodnota hash souboru. |
|
|
Název mutex souboru
|
fileMutexName | string |
Název Mutex používaný v detekcích založených na souborech. |
|
|
Název souboru
|
fileName | string |
Název souboru, pokud je indikátor založený na souboru. |
|
|
Balíček souborů
|
filePacker | string |
Packer použitý k sestavení příslušného souboru. |
|
|
Cesta k souboru
|
filePath | string |
Cesta k souboru označujícím ohrožení zabezpečení Může to být cesta stylu Windows nebo *nix. |
|
|
Velikost souboru
|
fileSize | integer |
Velikost souboru v bajtech |
|
|
Typ souboru
|
fileType | string |
Textový popis typu souboru. Například "Word Document" nebo "Binary". |
|
|
Název domény
|
domainName | string |
Název domény přidružený k tomuto indikátoru |
|
|
Blok cidr sítě
|
networkCidrBlock | string |
Reprezentace zápisu bloku CIDR sítě odkazované v tomto indikátoru |
|
|
Cíl sítě Asn
|
networkDestinationAsn | integer |
Identifikátor cílového autonomního systému sítě odkazovaného v indikátoru. |
|
|
Blok cidr cíle sítě
|
networkDestinationCidrBlock | string |
Reprezentace zápisu bloku CIDR cílové sítě v tomto indikátoru |
|
|
Cílový síťový protokol IPv4
|
networkDestinationIPv4 | string |
Cíl IP adresy IPv4 |
|
|
Cílový síťový protokol IPv6
|
networkDestinationIPv6 | string |
Cíl IP adresy IPv6. |
|
|
Cílový port sítě
|
networkDestinationPort | integer |
Cíl portu TCP. |
|
|
IPv4 sítě
|
networkIPv4 | string |
IP adresa IPv4. |
|
|
IPv6 sítě
|
networkIPv6 | string |
IP adresa IPv6. |
|
|
Síťový port
|
networkPort | integer |
Port TCP. |
|
|
Síťový protokol
|
networkProtocol | integer |
Desítkové vyjádření pole protokolu v hlavičce IPv4. |
|
|
Zdroj sítě Asn
|
networkSourceAsn | integer |
Identifikátor zdrojového autonomního systému sítě odkazovaného v indikátoru. |
|
|
Blok cidr zdroje sítě
|
networkSourceCidrBlock | string |
Reprezentace zápisu bloku CIDR zdrojové sítě v tomto indikátoru |
|
|
IPv4 zdroje sítě
|
networkSourceIPv4 | string |
Zdroj IP adres IPv4. |
|
|
Cílový síťový protokol IPv6
|
networkSourceIPv6 | string |
Zdroj IP adres IPv6. |
|
|
Zdrojový port sítě
|
networkSourcePort | integer |
Zdroj portu TCP. |
|
|
URL
|
url | string |
Uniform Resource Locator. |
|
|
Uživatelský agent
|
userAgent | string |
User-Agent řetězec z webového požadavku, který by mohl značit ohrožení zabezpečení. |
Návraty
Vrácená jedna entita TiIndicator
- TiIndicator
- TiIndicator
Vytváření předplatných (zastaralé) [ZASTARALÉ]
Vytváření předplatných webhooků Microsoft Graphu (zastaralé)
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
Adresa URL prostředku
|
resource | True | string |
Zadejte prostředek, který se bude monitorovat pro změny. Nezahrnujte základní adresu URL ( |
|
Změnit typ
|
changeType | True | string |
Zadejte typ vlastnosti, který by měl při změně u odebíraného prostředku vyvolat oznámení. |
|
Stav klienta
|
clientState | string |
Zadejte stav klienta a potvrďte zdroj původu oznámení. |
|
|
Adresa URL oznámení
|
notificationUrl | True | string |
Zadejte dobře formátovanou adresu URL koncového bodu, která bude přijímat oznámení. |
|
Datum vypršení platnosti
|
expirationDateTime | True | date-time |
Zadejte datum, kdy vyprší platnost předplatného webhooku; musí být datum a čas větší než aktuální čas a do 30 dnů. |
Návraty
Vrácená jedna entita předplatného
- Subscription
- Subscription
Získání aktivních předplatných (zastaralé) [ZASTARALÉ]
Získejte seznam nevyexpirovaných předplatných pro tohoto tenanta Microsoft Entra ID (zastaralé).
Návraty
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
Početexistujícíchch
|
@odata.count | integer |
Počet vrácenýchdílčích |
|
Subscription
|
value | array of Subscription |
Vrácené entity předplatného |
|
Další odkaz
|
@odata.nextLink | string |
Odkaz pro získání dalších výsledků v případě, že existuje více výsledků, než je požadováno |
Získání tiIndicators (zastaralé) [ZASTARALÉ]
Získejte seznam indikátorů analýzy hrozeb pro tohoto tenanta Microsoft Entra ID. Používá se s různými parametry dotazu (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
Filtry tiIndicators
|
$filter | string |
Určení podmínky filtrování pro indikátory analýzy hrozeb, jako je threatType eq 'WatchList' |
|
|
Top tiIndicators
|
$top | integer |
Určení nejnovějšího maximálního počtu indikátorů analýzy hrozeb, které se mají načíst |
|
|
Výběr vlastností tiIndicatoru
|
$select | string |
Zadejte vlastnosti indikátoru analýzy hrozeb, které se mají zahrnout do výsledků. |
|
|
Zahrnout počet vrácených tiIndicators
|
$count | string |
Určete, že se má zahrnout počet indikátorů analýzy hrozeb vrácených v odpovědi. |
|
|
Přeskočí "n" výsledky.
|
$skip | integer |
Zadejte počet výsledků, které chcete přeskočit. Užitečné pro stránkování. |
|
|
Pořadí řazení
|
$orderby | string |
Zadejte pořadí řazení výsledků. |
Návraty
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
TiIndicator count
|
@odata.count | integer |
Počet vrácených tiIndicator |
|
TiIndicators
|
value | array of TiIndicator |
Vrátil se TiIndicator. |
|
Další odkaz
|
@odata.nextLink | string |
Odkaz pro získání dalších výsledků v případě, že existuje více výsledků, než je požadováno |
Získání tiIndicatoru podle ID (zastaralé) [ZASTARALÉ]
Získejte indikátor analýzy hrozeb odpovídající zadanému ID (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
ID TiIndicatoru
|
indicator-id | True | string |
Zadání ID indikátoru analýzy hrozeb |
Návraty
Vrácená jedna entita TiIndicator
- TiIndicator
- TiIndicator
Získání upozornění (zastaralé) [ZASTARALÉ]
Získejte seznam výstrah zabezpečení pro tohoto tenanta Microsoft Entra ID. Používá se s různými parametry dotazu (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
Filtrování výstrah
|
$filter | string |
Zadejte podmínku filtrování pro výstrahy, jako je závažnost eq "Vysoká". |
|
|
Hlavní výstrahy
|
$top | integer |
Zadejte nejnovější nejvyšší počet výstrah, které se mají načíst od jednotlivých poskytovatelů. |
|
|
Výběr vlastností výstrahy
|
$select | string |
Zadejte vlastnosti výstrahy, které se mají zahrnout do výsledků. |
|
|
Pořadí řazení
|
$orderby | string |
Zadejte pořadí řazení výsledků. |
|
|
Přeskočí "n" výsledky.
|
$skip | integer |
Zadejte počet výsledků, které chcete přeskočit. Užitečné pro stránkování. |
|
|
Zahrnout počet vrácených výstrah
|
$count | string |
Určete, že se má zahrnout počet výstrah vrácených v odpovědi. |
Návraty
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
Počet upozornění
|
@odata.count | integer |
Počet vrácených výstrah |
|
Alerts
|
value | array of Alert |
Vrácené výstrahy |
|
Další odkaz
|
@odata.nextLink | string |
Odkaz pro získání dalších výsledků v případě, že existuje více výsledků, než je požadováno |
Získání upozornění podle ID (zastaralé) [ZASTARALÉ]
Získejte výstrahu zabezpečení odpovídající zadanému ID (zastaralé).
Parametry
| Name | Klíč | Vyžadováno | Typ | Description |
|---|---|---|---|---|
|
ID upozornění
|
alert-id | True | string |
Zadejte ID výstrahy. |
Návraty
Vrácená jedna entita upozornění
- Upozornění
- Alert
Aktivační události
| U nových upozornění s vysokou závažností (zastaralé) [ZASTARALÉ] |
Triggery u nových upozornění s vysokou závažností (zastaralé) |
| U všech nových upozornění (zastaralé) [ZASTARALÉ] |
Triggery pro všechna nová upozornění (zastaralé) |
U nových upozornění s vysokou závažností (zastaralé) [ZASTARALÉ]
Triggery u nových upozornění s vysokou závažností (zastaralé)
Návraty
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
Počet upozornění
|
@odata.count | integer |
Počet vrácených výstrah |
|
Alerts
|
value | array of Alert |
Vrácené výstrahy |
|
Další odkaz
|
@odata.nextLink | string |
Odkaz pro získání dalších výsledků v případě, že existuje více výsledků, než je požadováno |
U všech nových upozornění (zastaralé) [ZASTARALÉ]
Triggery pro všechna nová upozornění (zastaralé)
Návraty
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
Počet upozornění
|
@odata.count | integer |
Počet vrácených výstrah |
|
Alerts
|
value | array of Alert |
Vrácené výstrahy |
|
Další odkaz
|
@odata.nextLink | string |
Odkaz pro získání dalších výsledků v případě, že existuje více výsledků, než je požadováno |
Definice
Upozornění
Vrácená jedna entita upozornění
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
ID předplatného Azure
|
azureSubscriptionId | string |
ID předplatného Azure, které se zobrazí, pokud toto upozornění souvisí s prostředkem Azure. |
|
Štítky
|
tags | array of string |
Popisky definované uživatelem, které lze použít u výstrahy, a můžou sloužit jako podmínky filtru (např. "HVA", "SAW" atd.). |
|
ID
|
id | string |
Identifikátor GUID nebo jedinečný identifikátor vygenerovaný zprostředkovatelem. |
|
ID klienta Azure
|
azureTenantId | string |
ID tenanta Microsoft Entra ID. |
|
Název skupiny aktivit
|
activityGroupName | string |
Název nebo alias skupiny aktivit (útočník) – toto upozornění je přiřazeno. |
|
Přiřazeno komu
|
assignedTo | string |
Název analytika, kterému je výstraha přiřazena pro třídění, šetření nebo nápravu. |
|
Kategorie
|
category | string |
Kategorie výstrahy (např. credentialTheft, ransomware atd.). |
|
Datum uzavření
|
closedDateTime | date-time |
Čas ukončení výstrahy (UTC). |
|
Comments
|
comments | array of string |
Komentáře k upozornění poskytnuté zákazníkem (pro správu upozornění zákazníka) |
|
Spolehlivost
|
confidence | integer |
Spolehlivost logiky detekce (procento mezi 1–100) |
|
Datum vytvoření
|
createdDateTime | date-time |
Čas vytvoření výstrahy (UTC). |
|
Description
|
description | string |
Popis upozornění. |
|
ID detekce
|
detectionIds | array of string |
Sada výstrah souvisejících s touto entitou upozornění |
|
Datum události
|
eventDateTime | date-time |
Čas, kdy k vygenerování výstrahy (UTC) sloužily jako triggery. |
|
Feedback
|
feedback | string |
Zpětná vazba analytika k upozornění Možné hodnoty jsou: unknown, truePositive, falsePositive, benignPositive. |
|
Datum poslední změny
|
lastModifiedDateTime | date-time |
Čas poslední změny entity upozornění (UTC). |
|
Doporučené akce
|
recommendedActions | array of string |
Doporučená akce dodavatele nebo poskytovatele, která se má provést v důsledku výstrahy (např. izolace počítače, vynucení2FA, opětovného vytvoření hostitele atd.). |
|
Závažnost
|
severity | string |
Závažnost výstrahy – nastavená dodavatelem nebo poskytovatelem Hodnoty: (vysoká, střední, nízká, informační), kde "informační" odvodí, že výstraha není použitelná. |
|
Zdrojové materiály
|
sourceMaterials | array of string |
Hypertextové odkazy (URI) na zdrojový materiál související s upozorněním, např. uživatelské rozhraní pro šetření poskytovatele atd. |
|
Stav
|
status | string |
Stav životního cyklu výstrahy (fáze). Hodnoty: (neznámý, newAlert, inProgress, vyřešeno). |
|
Title
|
title | string |
Název upozornění. |
|
Název poskytovatele
|
vendorInformation.provider | string |
Konkrétní poskytovatel (produkt/služba – společnost není dodavatel); Například WindowsDefenderATP. |
|
Verze zprostředkovatele
|
vendorInformation.providerVersion | string |
Verze poskytovatele nebo dílčího poskytovatele. |
|
Název dílčího zprostředkovatele
|
vendorInformation.subProvider | string |
Konkrétní dílčí poskytovatel (v rámci agregátoru poskytovatele); Například WindowsDefenderATP.SmartScreen. |
|
Název dodavatele
|
vendorInformation.vendor | string |
Název dodavatele upozornění (například Microsoft, Dell, FireEye). |
|
Stavy cloudových aplikací
|
cloudAppStates | array of object |
Stavové informace související se zabezpečením vygenerované poskytovatelem o cloudové aplikaci/s souvisejících s touto výstrahou |
|
IP adresa cílové služby
|
cloudAppStates.destinationServiceIp | string |
Cílová IP adresa připojení ke cloudové aplikaci nebo službě |
|
Název cílové služby
|
cloudAppStates.destinationServiceName | string |
Název cílové cloudové aplikace nebo služby |
|
Skóre rizika
|
cloudAppStates.riskScore | string |
Skóre rizika vygenerovaného poskytovatelem nebo počítaného rizikového skóre cloudové aplikace nebo služby |
|
Stavy souborů
|
fileStates | array of object |
Stavové informace související se zabezpečením vygenerované poskytovatelem o souborech souvisejících s touto výstrahou. |
|
Název
|
fileStates.name | string |
Název souboru (bez cesty) |
|
Cesta
|
fileStates.path | string |
Úplná cesta k souboru nebo souboru imageFile. |
|
Skóre rizika
|
fileStates.riskScore | string |
Zprostředkovatel vygenerovaný/počítaný rizikový skóre souboru upozornění |
|
Typ
|
fileStates.fileHash.type | string |
Typ hodnoty hash souboru. Možné hodnoty jsou: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256. |
|
Hodnota
|
fileStates.fileHash.value | string |
Hodnota hodnoty hash souboru. |
|
Stavy hostitelů
|
hostStates | array of object |
Stavové informace související se zabezpečením vygenerované poskytovatelem o hostitelích souvisejících s touto výstrahou |
|
Plně kvalifikovaný název domény
|
hostStates.fqdn | string |
Plně kvalifikovaný název domény hostitele (plně kvalifikovaný název domény). |
|
Je připojený k AzureAd
|
hostStates.isAzureAdJoined | boolean |
Hodnota True, pokud je hostitel připojený k doméně služby Microsoft Entra ID Domain Services. |
|
Je zaregistrovaná služba AzureAd.
|
hostStates.isAzureAdRegistered | boolean |
Hodnota True, pokud hostitel zaregistrovaný v registraci zařízení Microsoft Entra ID (např. BYOD) – není plně spravován společností. |
|
Je hybridní doména připojená k Azure
|
hostStates.isHybridAzureDomainJoined | boolean |
Hodnota True, pokud je hostitel připojený k místní doméně Microsoft Entra ID. |
|
Název net biosu
|
hostStates.netBiosName | string |
Název místního hostitele bez názvu domény DNS. |
|
Název operačního systému
|
hostStates.os | string |
Hostitelský operační systém. |
|
Privátní IP adresa
|
hostStates.privateIpAddress | string |
Privátní (ne směrovatelná) adresa IPv4 nebo IPv6 v době výstrahy. |
|
Veřejná IP adresa
|
hostStates.publicIpAddress | string |
Veřejně směrovatelná adresa IPv4 nebo IPv6 v době výstrahy. |
|
Skóre rizika
|
hostStates.riskScore | string |
Generované nebo počítané rizikové skóre hostitele. |
|
Stavy malwaru
|
malwareStates | array of object |
Stavové informace související se zabezpečením vygenerované poskytovatelem o malwaru souvisejícím s touto výstrahou |
|
Kategorie
|
malwareStates.category | string |
Kategorie malwaru vygenerovaná poskytovatelem (např. trojský, ransomware atd.). |
|
Rodina
|
malwareStates.family | string |
Rodina malwaru generovaná poskytovatelem (např. "wannacry", "notpetya" atd.). |
|
Název
|
malwareStates.name | string |
Název varianty malwaru vygenerovaný zprostředkovatelem (např. Trojan:Win32/Powessere.H). |
|
Závažnost
|
malwareStates.severity | string |
Závažnost tohoto malwaru určená poskytovatelem |
|
Bylo spuštěno.
|
malwareStates.wasRunning | boolean |
Označuje, jestli byl zjištěný soubor (malware nebo ohrožení zabezpečení) spuštěný v době detekce nebo jestli byl zjištěn v klidovém stavu na disku. |
|
Síťová připojení
|
networkConnections | array of object |
Stavové informace související se zabezpečením vygenerované poskytovatelem o souborech souvisejících s touto výstrahou. |
|
Název aplikace
|
networkConnections.applicationName | string |
Název aplikace, která spravuje síťové připojení (např. Facebook, SMTP atd.). |
|
Cílová adresa
|
networkConnections.destinationAddress | string |
Cílová IP adresa síťového připojení. |
|
Cílová doména
|
networkConnections.destinationDomain | string |
Cílová doménová část cílové adresy URL. (například "www.contoso.com"). |
|
Cílový port
|
networkConnections.destinationPort | string |
Cílový port síťového připojení. |
|
Cílová adresa URL
|
networkConnections.destinationUrl | string |
Řetězec adresy URL/URI síťového připojení – s výjimkou parametrů. |
|
Směr
|
networkConnections.direction | string |
Směr síťového připojení. Možné hodnoty jsou: neznámé, příchozí, odchozí. |
|
Datum a čas registrace domény
|
networkConnections.domainRegisteredDateTime | date-time |
Datum, kdy byla cílová doména zaregistrovaná (UTC). |
|
Místní název DNS
|
networkConnections.localDnsName | string |
Místní překlad názvů DNS, jak se zobrazuje v místní mezipaměti DNS hostitele (například v případě, že byl soubor "hosts" manipulován). |
|
Cílová adresa nat
|
networkConnections.natDestinationAddress | string |
Cílová IP adresa překladu síťových adres |
|
Cílový port Nat
|
networkConnections.natDestinationPort | string |
Cílový port překladu síťových adres |
|
Zdrojová adresa nat
|
networkConnections.natSourceAddress | string |
Zdrojová IP adresa překladu síťových adres |
|
Zdrojový port Nat
|
networkConnections.natSourcePort | string |
Zdrojový port překladu síťových adres |
|
Protokol
|
networkConnections.protocol | string |
Síťový protokol. Možné hodnoty jsou: unknown, ip, ipmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipxx, spxII. |
|
Skóre rizika
|
networkConnections.riskScore | string |
Generované nebo počítané rizikové skóre síťového připojení. |
|
Zdrojová adresa
|
networkConnections.sourceAddress | string |
Zdrojová (tj. zdrojová) IP adresa síťového připojení. |
|
Zdrojový port
|
networkConnections.sourcePort | string |
Zdrojový (tj. zdrojový) PORT IP síťového připojení. |
|
Stav
|
networkConnections.status | string |
Stav síťového připojení. Možné hodnoty jsou: neznámé, pokusy, úspěšné, blokované, neúspěšné. |
|
Parametry adresy URL
|
networkConnections.urlParameters | string |
Parametry (přípona) cílové adresy URL jako řetězec |
|
Processes
|
processes | array of object |
Stavové informace související se zabezpečením vygenerované poskytovatelem o procesu nebo procesech souvisejících s touto výstrahou |
|
Název účtu
|
processes.accountName | string |
Identifikátor uživatelského účtu (kontext uživatelského účtu spuštěný v rámci procesu), např. AccountName, SID atd. |
|
Příkazový řádek
|
processes.commandLine | string |
Celý proces vyvolání příkazového řádku, včetně všech parametrů. |
|
Datum vytvoření
|
processes.createdDateTime | date-time |
DateTime, ve kterém byl nadřazený proces zahájen (UTC). |
|
Úroveň integrity
|
processes.integrityLevel | string |
Úroveň integrity procesu. Možné hodnoty jsou: neznámé, nedůvěryhodné, nízké, střední, vysoké, systém. |
|
Je zvýšená
|
processes.isElevated | boolean |
Hodnota True, pokud je proces zvýšen. |
|
Název
|
processes.name | string |
Název souboru image procesu. |
|
Datum vytvoření data a času nadřazeného procesu
|
processes.parentProcessCreatedDateTime | date-time |
Čas zahájení procesu (UTC). |
|
ID nadřazeného procesu
|
processes.parentProcessId | integer |
ID procesu (PID) nadřazeného procesu. |
|
Název nadřazeného procesu
|
processes.parentProcessName | string |
Název souboru obrázku nadřazeného procesu. |
|
Cesta
|
processes.path | string |
Úplná cesta včetně názvu souboru. |
|
ID procesu
|
processes.processId | integer |
ID procesu (PID) procesu. |
|
Typ
|
processes.fileHash.type | string |
Typ hodnoty hash souboru. Možné hodnoty jsou: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256. |
|
Hodnota
|
processes.fileHash.value | string |
Hodnota hodnoty hash souboru. |
|
Stavy klíčů registru
|
registryKeyStates | array of object |
Stavové informace související se zabezpečením vygenerované poskytovatelem o klíčích registru souvisejících s touto výstrahou. |
|
Proces
|
registryKeyStates.process | string |
ID procesu (PID) procesu, který změnil klíč registru (podrobnosti o procesu se zobrazí v kolekci "procesy"). |
|
Operation
|
registryKeyStates.operation | string |
Operace, která změnila název klíče registru nebo hodnotu (přidání, úprava, odstranění). |
|
Typ hodnoty
|
registryKeyStates.valueType | string |
Typ hodnoty klíče registru. Možné hodnoty jsou: unknown, binary, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian, sz. |
|
Podregistru
|
registryKeyStates.hive | string |
Podregistr registru Windows. Možné hodnoty jsou: unknown, currentConfig, currentUser, localMachineSam, localMachineSamSoftware, localMachineSystem, usersDefault. |
|
Key
|
registryKeyStates.key | string |
Aktuální (tj. změněný) klíč registru (vyloučí HIVE). |
|
Název hodnoty
|
registryKeyStates.valueName | string |
Aktuální (tj. změněný) název hodnoty klíče registru. |
|
Data hodnoty
|
registryKeyStates.valueData | string |
Aktuální (tj. změněná) data hodnoty klíče registru (obsah). |
|
Starý klíč
|
registryKeyStates.oldKey | string |
Předchozí klíč registru (tj. před změnou) (vyloučí HIVE). |
|
Název staré hodnoty
|
registryKeyStates.oldValueName | string |
Předchozí (tj. před změnou) název hodnoty klíče registru. |
|
Stará data hodnot
|
registryKeyStates.oldValueData | string |
Předchozí (tj. před změnou) dat hodnoty klíče registru (obsah). |
|
Triggers
|
triggers | array of object |
Informace související se zabezpečením o konkrétních vlastnostech, které aktivovaly výstrahu (vlastnosti zobrazené v upozornění). Výstrahy můžou obsahovat informace o více uživatelích, hostitelích, souborech, IP adresách. Toto pole označuje, které vlastnosti aktivovaly generování výstrah. |
|
Název
|
triggers.name | string |
Název vlastnosti, která slouží jako aktivační událost detekce |
|
Typ
|
triggers.type | string |
Typ atributu v páru klíč:hodnota pro interpretaci, např. řetězec, logická hodnota atd. |
|
Hodnota
|
triggers.value | string |
Hodnota atributu, který slouží jako aktivační událost detekce. |
|
Stavy uživatelů
|
userStates | array of object |
Stavové informace související se zabezpečením vygenerované poskytovatelem o přihlášeném uživateli nebo uživatelích souvisejících s tímto upozorněním |
|
ID uživatele Microsoft Entra ID
|
userStates.aadUserId | string |
Identifikátor uživatele Microsoft Entra ID (GUID) – představuje fyzickou entitu uživatele nebo entitu uživatele s více účty. |
|
Název účtu
|
userStates.accountName | string |
Název účtu uživatelského účtu (bez domény MICROSOFT Entra ID nebo domény DNS) – (označovaný také jako mailNickName). |
|
Název domény
|
userStates.domainName | string |
Doména id NetBIOS/Microsoft Entra ID uživatelského účtu (tj. doména\formát účtu). |
|
Role e-mailu
|
userStates.emailRole | string |
Pro upozornění související s e-mailem – e-mailová role uživatelského účtu. |
|
Je vpn
|
userStates.isVpn | boolean |
Určuje, jestli se uživatel přihlásil prostřednictvím sítě VPN. |
|
Datum přihlášení
|
userStates.logonDateTime | date-time |
Čas, kdy došlo k přihlášení (UTC). |
|
Přihlašovací ID
|
userStates.logonId | string |
PŘIHLAŠOVACÍ ID uživatele. |
|
Přihlašovací IP adresa
|
userStates.logonIp | string |
IP adresa, ze které je žádost o přihlášení orgovaná. |
|
Umístění přihlášení
|
userStates.logonLocation | string |
Umístění (podle mapování IP adres) přidružené k události přihlášení uživatele tímto uživatelem. |
|
Typ přihlášení
|
userStates.logonType | string |
Metoda přihlášení uživatele Možné hodnoty jsou: unknown, interactive, remoteInteractive, network, batch, service. |
|
Identifikátor místního zabezpečení
|
userStates.onPremisesSecurityIdentifier | string |
Identifikátor zabezpečení (SID) uživatele (Microsoft Entra ID) (on-premises). |
|
Skóre rizika
|
userStates.riskScore | string |
Generované nebo počítané rizikové skóre uživatelského účtu. |
|
Typ uživatelského účtu
|
userStates.userAccountType | string |
Typ uživatelského účtu (členství ve skupině) na definici Windows. Možné hodnoty jsou: neznámé, standardní, napájení, správce. |
|
Hlavní název uživatele
|
userStates.userPrincipalName | string |
Přihlašovací jméno uživatele – internetový formát: <název> uživatelského účtu@<název> domény DNS uživatelského účtu. |
|
Stavy ohrožení zabezpečení
|
vulnerabilityStates | array of object |
Analýza hrozeb týkající se jedné nebo více ohrožení zabezpečení souvisejících s touto výstrahou |
|
Cve
|
vulnerabilityStates.cve | string |
Běžná ohrožení zabezpečení a ohrožení zabezpečení (CVE) pro ohrožení zabezpečení |
|
Bylo spuštěno.
|
vulnerabilityStates.wasRunning | boolean |
Označuje, jestli byla zjištěná chyba zabezpečení (soubor) spuštěná v době detekce nebo jestli byl soubor zjištěn v klidovém stavu na disku. |
|
Závažnost
|
vulnerabilityStates.severity | string |
Základní běžné skóre závažnosti systému vyhodnocování ohrožení zabezpečení (CVSS) pro tuto chybu zabezpečení. |
Subscription
Vrácená jedna entita předplatného
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
ID
|
id | string |
Jedinečný identifikátor předplatného |
|
Resource
|
resource | string |
Určuje prostředek, který se bude monitorovat pro změny. |
|
ID aplikace
|
applicationId | string |
Identifikátor aplikace použité k vytvoření předplatného. |
|
Změnit typ
|
changeType | string |
Označuje typ změny v předplaceném prostředku, který vyvolá oznámení. |
|
Stav klienta
|
clientState | string |
Určuje hodnotu vlastnosti clientState odeslané službou v každém oznámení. Maximální délka je 128 znaků. Klient může zkontrolovat, zda oznámení pochází ze služby porovnáním hodnoty vlastnosti clientState odeslané s předplatným s hodnotou vlastnosti clientState přijatou s každým oznámením. |
|
Adresa URL oznámení
|
notificationUrl | string |
Adresa URL koncového bodu, který bude dostávat oznámení. Tato adresa URL musí používat protokol HTTPS. |
|
Datum vypršení platnosti
|
expirationDateTime | string |
Určuje datum a čas vypršení platnosti předplatného webhooku (UTC). |
|
ID autora
|
creatorId | string |
Identifikátor uživatele nebo instančního objektu, který vytvořil předplatné. Pokud aplikace použila delegovaná oprávnění k vytvoření předplatného, obsahuje toto pole ID přihlášeného uživatele, kterého aplikace volala jménem. Pokud aplikace použila oprávnění aplikace, obsahuje toto pole ID instančního objektu odpovídající aplikaci. |
TiIndicator
Vrácená jedna entita TiIndicator
| Name | Cesta | Typ | Description |
|---|---|---|---|
|
Činnost
|
action | string |
Akce, která se má použít, pokud se indikátor shoduje s nástrojem zabezpečení targetProduct. Hodnoty: (neznámé, povolit, blokovat, upozornění). |
|
Názvy skupin aktivit
|
activityGroupNames | array of string |
Názvy analýz kybernetických hrozeb pro strany zodpovědné za škodlivou aktivitu pokrytou indikátorem hrozby. |
|
Další informace
|
additionalInformation | string |
Další údaje z ukazatele, na který se nevztahují ostatní vlastnosti tiIndicatoru, mohou být umístěny |
|
ID tenanta Azure
|
azureTenantId | string |
ID tenanta Microsoft Entra ID odesílání klienta. |
|
Spolehlivost
|
confidence | integer |
Spolehlivost logiky detekce (procento mezi 0–100) |
|
Description
|
description | string |
Popis TiIndicatoru (100 znaků nebo méně) |
|
Kosočtvercový model
|
diamondModel | string |
Oblast kosočtvercového modelu, ve kterém tento ukazatel existuje. Hodnoty: (neznámý, nežádoucí osoba, schopnost, infrastruktura, oběť). |
|
Datum vypršení platnosti
|
expirationDateTime | date-time |
Čas, kdy vyprší platnost ukazatele (UTC). |
|
Externí ID
|
externalId | string |
Identifikační číslo, které spojuje indikátor zpět do systému poskytovatele ukazatele (např. cizí klíč). |
|
ID
|
id | string |
Když se indikátor ingestuje, vytvoří ho systém. Vygenerovaný identifikátor GUID nebo jedinečný identifikátor. |
|
Ingestované datum a čas
|
ingestedDateTime | date-time |
Čas, kdy se indikátor ingestuje (UTC). |
|
Je aktivní
|
isActive | boolean |
Ve výchozím nastavení se jakýkoli odeslaný indikátor nastaví jako aktivní. Poskytovatelé však mohou odesílat existující indikátory s touto sadou na hodnotu False, aby deaktivovali indikátory v systému. |
|
Kill chain
|
killChain | array of string |
řetězce, které popisují, který bod nebo body v rámci kill chainu tento ukazatel cílí. Hodnoty: (Actions, C2, Delivery, Exploitation, Installation, Rekognoskace, Zbraňizace). |
|
Známé falešně pozitivní výsledky
|
knownFalsePositives | string |
Scénáře, ve kterých může indikátor způsobit falešně pozitivní výsledky |
|
Datum posledního nahlášení
|
lastReportedDateTime | date-time |
Čas posledního výskytu indikátoru (UTC). |
|
Jména rodin malwaru
|
malwareFamilyNames | array of string |
Název rodiny malwaru přidružený k indikátoru, pokud existuje. |
|
Pouze pasivní
|
passiveOnly | boolean |
Určuje, jestli má indikátor aktivovat událost, která je viditelná pro koncového uživatele. |
|
Závažnost
|
severity | integer |
Závažnost škodlivého chování identifikovaného daty v indikátoru Hodnoty jsou od 0 do 5, přičemž 5 je nejvíce závažné. Výchozí hodnota je 3. |
|
Štítky
|
tags | array of string | |
|
Cílový produkt
|
targetProduct | string |
Jeden bezpečnostní produkt, na který se má ukazatel použít. Přijatelné hodnoty jsou: Azure Sentinel, Microsoft Defender ATP. |
|
Typ hrozby
|
threatType | string |
Každý indikátor musí mít platný typ hrozby indikátoru. Možné hodnoty jsou: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
Úroveň Tlp
|
tlpLevel | string |
Hodnota protokolu semaforu pro indikátor. Možné hodnoty jsou: neznámé, bílé, zelené, amber, červené. |
|
Kódování e-mailu
|
emailEncoding | string |
Typ kódování textu použitý v e-mailu. |
|
Jazyk e-mailu
|
emailLanguage | string |
Jazyk e-mailu. |
|
Příjemce e-mailu
|
emailRecipient | string |
E-mailová adresa příjemce |
|
E-mailová adresa odesílatele
|
emailSenderAddress | string |
E-mailová adresa útočníka|victim. |
|
Jméno odesílatele e-mailu
|
emailSenderName | string |
Zobrazovaný název útočníka|victim. |
|
Zdrojová doména e-mailu
|
emailSourceDomain | string |
Doména použitá v e-mailu. |
|
Zdrojová IP adresa e-mailu
|
emailSourceIpAddress | string |
Zdrojová IP adresa e-mailu |
|
Email předmět
|
emailSubject | string |
Řádek předmětu e-mailu |
|
E-mail XMailer
|
emailXMailer | string |
Hodnota X-Mailer použitá v e-mailu |
|
Datum kompilace souboru
|
fileCompileDateTime | date-time |
DateTime při kompilaci souboru. |
|
Datum vytvoření souboru
|
fileCreatedDateTime | date-time |
DateTime při vytvoření souboru. |
|
Typ hodnoty hash souboru
|
fileHashType | string |
Typ hodnoty hash uložený v fileHashValue. Možné hodnoty jsou: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
Hodnota hash souboru
|
fileHashValue | string |
Hodnota hash souboru. |
|
Název mutex souboru
|
fileMutexName | string |
Název Mutex používaný v detekcích založených na souborech. |
|
Název souboru
|
fileName | string |
Název souboru, pokud je indikátor založený na souboru. |
|
Balíček souborů
|
filePacker | string |
Packer použitý k sestavení příslušného souboru. |
|
Cesta k souboru
|
filePath | string |
Cesta k souboru označujícím ohrožení zabezpečení Může to být cesta stylu Windows nebo *nix. |
|
Velikost souboru
|
fileSize | integer |
Velikost souboru v bajtech |
|
Typ souboru
|
fileType | string |
Textový popis typu souboru. Například "Word Document" nebo "Binary". |
|
Název domény
|
domainName | string |
Název domény přidružený k tomuto indikátoru |
|
Blok cidr sítě
|
networkCidrBlock | string |
Reprezentace zápisu bloku CIDR sítě odkazované v tomto indikátoru |
|
Cíl sítě Asn
|
networkDestinationAsn | integer |
Identifikátor cílového autonomního systému sítě odkazovaného v indikátoru. |
|
Blok cidr cíle sítě
|
networkDestinationCidrBlock | string |
Reprezentace zápisu bloku CIDR cílové sítě v tomto indikátoru |
|
Cílový síťový protokol IPv4
|
networkDestinationIPv4 | string |
Cíl IP adresy IPv4 |
|
Cílový síťový protokol IPv6
|
networkDestinationIPv6 | string |
Cíl IP adresy IPv6. |
|
Cílový port sítě
|
networkDestinationPort | integer |
Cíl portu TCP. |
|
IPv4 sítě
|
networkIPv4 | string |
IP adresa IPv4. |
|
IPv6 sítě
|
networkIPv6 | string |
IP adresa IPv6. |
|
Síťový port
|
networkPort | integer |
Port TCP. |
|
Síťový protokol
|
networkProtocol | integer |
Desítkové vyjádření pole protokolu v hlavičce IPv4. |
|
Zdroj sítě Asn
|
networkSourceAsn | integer |
Identifikátor zdrojového autonomního systému sítě odkazovaného v indikátoru. |
|
Blok cidr zdroje sítě
|
networkSourceCidrBlock | string |
Reprezentace zápisu bloku CIDR zdrojové sítě v tomto indikátoru |
|
IPv4 zdroje sítě
|
networkSourceIPv4 | string |
Zdroj IP adres IPv4. |
|
Cílový síťový protokol IPv6
|
networkSourceIPv6 | string |
Zdroj IP adres IPv6. |
|
Zdrojový port sítě
|
networkSourcePort | integer |
Zdroj portu TCP. |
|
URL
|
url | string |
Uniform Resource Locator. |
|
Uživatelský agent
|
userAgent | string |
User-Agent řetězec z webového požadavku, který by mohl značit ohrožení zabezpečení. |