Threat Intelligence Indicator - Query Indicators
Abfragen von Threat Intelligence-Indikatoren gemäß Filterkriterien.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/queryIndicators?api-version=2024-03-01
URI-Parameter
Name | In | Erforderlich | Typ | Beschreibung |
---|---|---|---|---|
resource
|
path | True |
string |
Der Name der Ressourcengruppe. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet. |
subscription
|
path | True |
string |
Hierbei handelt es sich um die ID des Zielabonnements. |
workspace
|
path | True |
string |
Den Namen des Arbeitsbereichs Regex pattern: |
api-version
|
query | True |
string |
Hierbei handelt es sich um die für diesen Vorgang zu verwendende API-Version. |
Anforderungstext
Name | Typ | Beschreibung |
---|---|---|
ids |
string[] |
Ids von Threat Intelligence-Indikatoren |
includeDisabled |
boolean |
Parameter zum Einschließen/Ausschließen deaktivierter Indikatoren. |
keywords |
string[] |
Schlüsselwörter für die Suche nach Threat Intelligence-Indikatoren |
maxConfidence |
integer |
Maximale Zuverlässigkeit. |
maxValidUntil |
string |
Endzeit für den ValidUntil-Filter. |
minConfidence |
integer |
Minimale Zuverlässigkeit. |
minValidUntil |
string |
Startzeit für den ValidUntil-Filter. |
pageSize |
integer |
Page size (Seitengröße) |
patternTypes |
string[] |
Mustertypen |
skipToken |
string |
Token überspringen. |
sortBy |
Zu sortierende Spalten und Sortierreihenfolge |
|
sources |
string[] |
Quellen von Threat Intelligence-Indikatoren |
threatTypes |
string[] |
Bedrohungstypen von Threat Intelligence-Indikatoren |
Antworten
Name | Typ | Beschreibung |
---|---|---|
200 OK |
OK |
|
Other Status Codes |
Fehlerantwort mit Beschreibung des Grunds für den Fehler. |
Sicherheit
azure_auth
Azure Active Directory-OAuth2-Flow
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Name | Beschreibung |
---|---|
user_impersonation | Identitätswechsel Ihres Benutzerkontos |
Beispiele
Query threat intelligence indicators as per filtering criteria
Sample Request
POST https://management.azure.com/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatIntelligence/main/queryIndicators?api-version=2024-03-01
{
"pageSize": 100,
"minConfidence": 25,
"maxConfidence": 80,
"minValidUntil": "2020-04-05T17:44:00.114052Z",
"maxValidUntil": "2020-04-25T17:44:00.114052Z",
"sources": [
"Azure Sentinel"
],
"sortBy": [
{
"itemKey": "lastUpdatedTimeUtc",
"sortOrder": "descending"
}
]
}
Sample Response
{
"value": [
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
"name": "27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
"etag": "\"00002f2c-0000-0800-0000-5e976a8e0000\"",
"type": "Microsoft.SecurityInsights/ThreatIntelligence",
"kind": "indicator",
"properties": {
"confidence": 90,
"created": "2020-04-15T20:11:57.9666134Z",
"createdByRef": "contoso@contoso.com",
"externalId": "indicator--8516d567-0daa-4614-8745-e3591e1b48cf",
"externalReferences": [],
"granularMarkings": [],
"lastUpdatedTimeUtc": "2020-04-15T20:15:11.0746926Z",
"revoked": false,
"source": "Azure Sentinel",
"threatIntelligenceTags": [
"new schema"
],
"displayName": "new schema 2",
"description": "debugging indicators 2",
"threatTypes": [
"compromised"
],
"killChainPhases": [],
"pattern": "[url:value = 'https://www.contoso.com']",
"patternType": "url",
"validFrom": "2020-04-15T17:44:00.114052Z",
"parsedPattern": [
{
"patternTypeKey": "network-traffic",
"patternTypeValues": [
{
"valueType": "0",
"value": "SSH-2.0-PuTTY_Release_0.64"
},
{
"valueType": "1",
"value": "194.88.106.146"
}
]
}
]
}
},
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
"name": "e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
"etag": "\"00002a2c-0000-0800-0000-5e97683b0000\"",
"type": "Microsoft.SecurityInsights/ThreatIntelligence",
"kind": "indicator",
"properties": {
"confidence": 78,
"created": "2020-04-15T19:51:17.1050923Z",
"createdByRef": "contoso@contoso.com",
"externalId": "indicator--73be1729-babb-4348-a6c4-94621cae2530",
"externalReferences": [],
"granularMarkings": [],
"lastUpdatedTimeUtc": "2020-04-15T20:15:11.074903Z",
"revoked": false,
"source": "Azure Sentinel",
"threatIntelligenceTags": [
"patching tags"
],
"displayName": "updated indicator",
"description": "debugging indicators",
"threatTypes": [
"compromised"
],
"killChainPhases": [],
"pattern": "[url:value = 'https://www.contoso.com']",
"patternType": "url",
"validFrom": "2020-04-15T17:44:00.114052Z"
}
}
]
}
Definitionen
Name | Beschreibung |
---|---|
Cloud |
Fehlerantwortstruktur. |
Cloud |
Fehlerdetails. |
created |
Der Identitätstyp, der die Ressource erstellt hat. |
system |
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen. |
Threat |
Beschreibt externe Referenz |
Threat |
Filterkriterien zum Abfragen von Threat Intelligence-Indikatoren. |
Threat |
Beschreibt die Entität des granularen Markierungsmodells für Bedrohungen. |
Threat |
Threat Intelligence-Indikatorentität. |
Threat |
Liste aller Threat Intelligence-Informationsobjekte. |
Threat |
Beschreibt die Entität der Bedrohungs-Kill-Chain-Phase |
Threat |
Beschreibt analysierte Musterentität |
Threat |
Beschreibt die Entität der Bedrohungs-Kill-Chain-Phase |
Threat |
Die Art der Threat Intelligence-Entität |
Threat |
Liste der verfügbaren Spalten für die Sortierung |
Threat |
Sortierreihenfolge (aufsteigend/absteigend/unsortiert). |
CloudError
Fehlerantwortstruktur.
Name | Typ | Beschreibung |
---|---|---|
error |
Fehlerdaten |
CloudErrorBody
Fehlerdetails.
Name | Typ | Beschreibung |
---|---|---|
code |
string |
Ein Bezeichner für den Fehler. Codes sind unveränderlich und sollten programmgesteuert verwendet werden. |
message |
string |
Eine Meldung, die den Fehler beschreibt, der für die Anzeige in einer Benutzeroberfläche geeignet sein soll. |
createdByType
Der Identitätstyp, der die Ressource erstellt hat.
Name | Typ | Beschreibung |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
systemData
Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.
Name | Typ | Beschreibung |
---|---|---|
createdAt |
string |
Der Zeitstempel der Ressourcenerstellung (UTC). |
createdBy |
string |
Die Identität, die die Ressource erstellt hat. |
createdByType |
Der Identitätstyp, der die Ressource erstellt hat. |
|
lastModifiedAt |
string |
Der Zeitstempel der letzten Änderung der Ressource (UTC) |
lastModifiedBy |
string |
Die Identität, die die Ressource zuletzt geändert hat. |
lastModifiedByType |
Der Identitätstyp, der die Ressource zuletzt geändert hat. |
ThreatIntelligenceExternalReference
Beschreibt externe Referenz
Name | Typ | Beschreibung |
---|---|---|
description |
string |
Beschreibung externer Referenz |
externalId |
string |
Externe Verweis-ID |
hashes |
object |
Externe Verweishashes |
sourceName |
string |
Name der externen Referenzquelle |
url |
string |
URL für externen Verweis |
ThreatIntelligenceFilteringCriteria
Filterkriterien zum Abfragen von Threat Intelligence-Indikatoren.
Name | Typ | Beschreibung |
---|---|---|
ids |
string[] |
Ids von Threat Intelligence-Indikatoren |
includeDisabled |
boolean |
Parameter zum Einschließen/Ausschließen deaktivierter Indikatoren. |
keywords |
string[] |
Schlüsselwörter für die Suche nach Threat Intelligence-Indikatoren |
maxConfidence |
integer |
Maximale Zuverlässigkeit. |
maxValidUntil |
string |
Endzeit für den ValidUntil-Filter. |
minConfidence |
integer |
Minimale Zuverlässigkeit. |
minValidUntil |
string |
Startzeit für den ValidUntil-Filter. |
pageSize |
integer |
Page size (Seitengröße) |
patternTypes |
string[] |
Mustertypen |
skipToken |
string |
Token überspringen. |
sortBy |
Spalten zum Sortieren nach und Sortierreihenfolge |
|
sources |
string[] |
Quellen für Threat Intelligence-Indikatoren |
threatTypes |
string[] |
Bedrohungstypen von Threat Intelligence-Indikatoren |
ThreatIntelligenceGranularMarkingModel
Beschreibt die Entität des granularen Markierungsmodells für Bedrohungen.
Name | Typ | Beschreibung |
---|---|---|
language |
string |
Differenziertes Sprachmarkierungsmodell |
markingRef |
integer |
Referenzgranularmarkierungsmodell markieren |
selectors |
string[] |
Differenzierte Markierungsmodellselektoren |
ThreatIntelligenceIndicatorModel
Threat Intelligence-Indikatorentität.
Name | Typ | Beschreibung |
---|---|---|
etag |
string |
Etag der Azure-Ressource |
id |
string |
Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
indicator |
Die Art der Entität. |
name |
string |
Der Name der Ressource |
properties.additionalData |
object |
Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden. |
properties.confidence |
integer |
Vertrauen der Threat Intelligence-Entität |
properties.created |
string |
Erstellt von |
properties.createdByRef |
string |
Erstellt durch Verweis auf die Threat Intelligence-Entität |
properties.defanged |
boolean |
Ist die Threat Intelligence-Entität defanged? |
properties.description |
string |
Beschreibung einer Threat Intelligence-Entität |
properties.displayName |
string |
Anzeigename einer Threat Intelligence-Entität |
properties.extensions |
Erweiterungszuordnung |
|
properties.externalId |
string |
Externe ID der Threat Intelligence-Entität |
properties.externalLastUpdatedTimeUtc |
string |
Externe Uhrzeit der letzten Aktualisierung in UTC |
properties.externalReferences |
Externe Verweise |
|
properties.friendlyName |
string |
Der Graphelementanzeigename, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden. |
properties.granularMarkings |
Präzise Markierungen |
|
properties.indicatorTypes |
string[] |
Indikatortypen von Threat Intelligence-Entitäten |
properties.killChainPhases |
Kill Chain-Phasen |
|
properties.labels |
string[] |
Bezeichnungen der Threat Intelligence-Entität |
properties.language |
string |
Sprache der Threat Intelligence-Entität |
properties.lastUpdatedTimeUtc |
string |
Uhrzeit der letzten Aktualisierung in UTC |
properties.modified |
string |
Geändert von |
properties.objectMarkingRefs |
string[] |
Threat Intelligence-Entitätsobjektmarkierungsverweise |
properties.parsedPattern |
Analysierte Muster |
|
properties.pattern |
string |
Muster einer Threat Intelligence-Entität |
properties.patternType |
string |
Mustertyp einer Threat Intelligence-Entität |
properties.patternVersion |
string |
Musterversion einer Threat Intelligence-Entität |
properties.revoked |
boolean |
Wird die Threat Intelligence-Entität widerrufen? |
properties.source |
string |
Quelle einer Threat Intelligence-Entität |
properties.threatIntelligenceTags |
string[] |
Liste der Tags |
properties.threatTypes |
string[] |
Bedrohungstypen |
properties.validFrom |
string |
Gültig ab |
properties.validUntil |
string |
Gültig bis |
systemData |
Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen. |
|
type |
string |
Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts" |
ThreatIntelligenceInformationList
Liste aller Threat Intelligence-Informationsobjekte.
Name | Typ | Beschreibung |
---|---|---|
nextLink |
string |
URL zum Abrufen des nächsten Satz von Informationsobjekten. |
value | ThreatIntelligenceInformation[]: |
Array von Threat Intelligence-Informationsobjekten. |
ThreatIntelligenceKillChainPhase
Beschreibt die Entität der Bedrohungs-Kill-Chain-Phase
Name | Typ | Beschreibung |
---|---|---|
killChainName |
string |
Kill chainNamename |
phaseName |
string |
Phasenname |
ThreatIntelligenceParsedPattern
Beschreibt analysierte Musterentität
Name | Typ | Beschreibung |
---|---|---|
patternTypeKey |
string |
Mustertypschlüssel |
patternTypeValues |
Mustertypschlüssel |
ThreatIntelligenceParsedPatternTypeValue
Beschreibt die Entität der Bedrohungs-Kill-Chain-Phase
Name | Typ | Beschreibung |
---|---|---|
value |
string |
Wert des analysierten Musters |
valueType |
string |
Typ des Werts |
ThreatIntelligenceResourceInnerKind
Die Art der Threat Intelligence-Entität
Name | Typ | Beschreibung |
---|---|---|
indicator |
string |
Entität stellt den Threat Intelligence-Indikator im System dar. |
ThreatIntelligenceSortingCriteria
Liste der verfügbaren Spalten für die Sortierung
Name | Typ | Beschreibung |
---|---|---|
itemKey |
string |
Spaltenname |
sortOrder |
Sortierreihenfolge (aufsteigend/absteigend/unsortiert). |
ThreatIntelligenceSortingOrder
Sortierreihenfolge (aufsteigend/absteigend/unsortiert).
Name | Typ | Beschreibung |
---|---|---|
ascending |
string |
|
descending |
string |
|
unsorted |
string |