Freigeben über


Update tiIndicator

Namespace: microsoft.graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Aktualisieren sie die Eigenschaften eines tiIndicator-Objekts .

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Globaler Dienst US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Wählen Sie für diese API die Als am wenigsten privilegierten Berechtigungen gekennzeichneten Berechtigungen aus. Verwenden Sie nur dann eine Berechtigung mit höheren Berechtigungen , wenn dies für Ihre App erforderlich ist. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.

Berechtigungstyp Berechtigungen mit den geringsten Berechtigungen Berechtigungen mit höheren Berechtigungen
Delegiert (Geschäfts-, Schul- oder Unikonto) ThreatIndicators.ReadWrite.OwnedBy Nicht verfügbar.
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt Nicht unterstützt
Anwendung ThreatIndicators.ReadWrite.OwnedBy Nicht verfügbar.

HTTP-Anforderung

PATCH /security/tiIndicators/{id}

Anforderungsheader

Name Beschreibung
Authorization Bearer {code} Erforderlich
Prefer return=representation

Anforderungstext

Geben Sie im Anforderungstext die Werte für die relevanten Felder an, die aktualisiert werden sollen. Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte bei oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet. Geben Sie aus Gründen der Leistung vorhandene Werte, die nicht geändert wurden, nicht an. Pflichtfelder sind: id, expirationDateTime, targetProduct.

Eigenschaft Typ Beschreibung
Aktion string Die Aktion, die angewendet werden soll, wenn der Indikator innerhalb des TargetProduct-Sicherheitstools abgeglichen wird. Mögliche Werte: unknown, allow, block, alert.
activityGroupNames Zeichenfolgensammlung Die Namen der Cyber Threat Intelligence für die Parteien, die für die böswillige Aktivität verantwortlich sind, die vom Bedrohungsindikator abgedeckt wird.
additionalInformation String Ein Catchall-Bereich, in dem zusätzliche Daten aus dem Indikator platziert werden können, die nicht von den anderen tiIndicator-Eigenschaften abgedeckt sind. Daten, die in additionalInformation platziert werden, werden in der Regel nicht vom TargetProduct-Sicherheitstool verwendet.
confidence Int32 Eine ganze Zahl, die die Zuverlässigkeit der Daten innerhalb des Indikators darstellt, identifiziert schädliches Verhalten genau. Zulässige Werte sind 0 bis 100, wobei 100 am höchsten ist.
description String Kurze Beschreibung (maximal 100 Zeichen) der Bedrohung, die durch den Indikator dargestellt wird.
diamondModel diamondModel Der Bereich des Diamantmodells, in dem dieser Indikator vorhanden ist. Mögliche Werte: unknown, adversary, capability, infrastructure, victim.
expirationDateTime DateTimeOffset DateTime-Zeichenfolge, die angibt, wann der Indikator abläuft. Alle Indikatoren müssen über ein Ablaufdatum verfügen, um zu verhindern, dass veraltete Indikatoren im System beibehalten werden. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z.
externalId String Eine Identifikationsnummer, die den Indikator wieder an das System des Indikatoranbieters bindet (z. B. ein Fremdschlüssel).
isActive Boolesch Wird verwendet, um Indikatoren im System zu deaktivieren. Standardmäßig wird jeder übermittelte Indikator als aktiv festgelegt. Anbieter können jedoch vorhandene Indikatoren mit dieser Einstellung auf "False" übermitteln, um Indikatoren im System zu deaktivieren.
killChain killChain-Sammlung Ein JSON-Array von Zeichenfolgen, das beschreibt, auf welchen Punkt bzw. welche Punkte auf die Kill Chain dieser Indikator abzielt. Unter "killChain-Werte" finden Sie die genauen Werte weiter unten.
knownFalsePositives String Szenarien, in denen der Indikator zu falsch positiven Ergebnissen führen kann. Dies sollte für Menschen lesbarer Text sein.
lastReportedDateTime DateTimeOffset Das letzte Mal, wenn der Indikator angezeigt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z.
malwareFamilyNames Zeichenfolgensammlung Der Name der Schadsoftwarefamilie, der einem Indikator zugeordnet ist, sofern vorhanden. Microsoft bevorzugt den Namen der Microsoft-Schadsoftwarefamilie, wenn möglich, der über die Windows Defender Security Intelligence Threat Encyclopedia gefunden werden kann.
passiveOnly Boolesch Bestimmt, ob der Indikator ein Ereignis auslösen soll, das für einen Endbenutzer sichtbar ist. Wenn diese Einstellung auf "true" festgelegt ist, benachrichtigen Sicherheitstools den Endbenutzer nicht, dass ein "Treffer" aufgetreten ist. Dies wird von Sicherheitsprodukten am häufigsten als Überwachungs- oder Unbeaufsichtigter Modus behandelt, in dem sie protokollieren, dass eine Übereinstimmung aufgetreten ist, aber die Aktion nicht ausführt. Standardwert ist "false".
Schweregrad Int32 Eine ganze Zahl, die den Schweregrad des schädlichen Verhaltens darstellt, das durch die Daten innerhalb des Indikators identifiziert wird. Zulässige Werte sind 0 bis 5, wobei 5 die schwerwiegendste und null überhaupt nicht schwerwiegend ist. Der Standardwert ist 3.
tags Zeichenfolgenauflistung Ein JSON-Array von Zeichenfolgen, das beliebige Tags/Schlüsselwörter speichert.
tlpLevel tlpLevel Traffic Light Protocol-Wert für den Indikator. Mögliche Werte: unknown, white, green, amber, red.

Antwort

Wenn die Methode erfolgreich verläuft, wird der Antwortcode 204 No Content zurückgegeben.

Wenn der optionale Anforderungsheader verwendet wird, gibt die Methode einen 200 OK Antwortcode und das aktualisierte tiIndicator-Objekt im Antworttext zurück.

Beispiele

Beispiel 1: Anforderung ohne Prefer-Header

Anforderung

Das folgende Beispiel zeigt eine Anforderung ohne den Prefer -Header.

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json

{
  "description": "description-updated",
}

Antwort

Das folgende Beispiel zeigt die Antwort.

HTTP/1.1 204 No Content

Beispiel 2: Anforderung mit Prefer-Header

Anforderung

Das folgende Beispiel zeigt eine Anforderung, die den Prefer -Header enthält.

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation

{
  "additionalInformation": "additionalInformation-after-update",
  "confidence": 42,
  "description": "description-after-update",
}

Antwort

Das folgende Beispiel zeigt die Antwort.

Hinweis

Das hier gezeigte Antwortobjekt wird möglicherweise zur besseren Lesbarkeit verkürzt.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
    "id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
    "azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
    "action": null,
    "additionalInformation": "additionalInformation-after-update",
    "activityGroupNames": [],
    "confidence": 42,
    "description": "description-after-update",
}