Threat Intelligence Indicator - Query Indicators

Referenz

Service:: Sentinel

API Version:: 2024-03-01

Abfragen von Threat Intelligence-Indikatoren gemäß Filterkriterien.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/queryIndicators?api-version=2024-03-01

URI-Parameter

Name	In	Erforderlich	Typ	Beschreibung
resourceGroupName	path	True	string	Der Name der Ressourcengruppe. Für den Namen wird die Groß-/Kleinschreibung nicht beachtet.
subscriptionId	path	True	string	Hierbei handelt es sich um die ID des Zielabonnements.
workspaceName	path	True	string	Den Namen des Arbeitsbereichs Regex pattern: `^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$`
api-version	query	True	string	Hierbei handelt es sich um die für diesen Vorgang zu verwendende API-Version.

Anforderungstext

Name	Typ	Beschreibung
ids	string[]	Ids von Threat Intelligence-Indikatoren
includeDisabled	boolean	Parameter zum Einschließen/Ausschließen deaktivierter Indikatoren.
keywords	string[]	Schlüsselwörter für die Suche nach Threat Intelligence-Indikatoren
maxConfidence	integer	Maximale Zuverlässigkeit.
maxValidUntil	string	Endzeit für den ValidUntil-Filter.
minConfidence	integer	Minimale Zuverlässigkeit.
minValidUntil	string	Startzeit für den ValidUntil-Filter.
pageSize	integer	Page size (Seitengröße)
patternTypes	string[]	Mustertypen
skipToken	string	Token überspringen.
sortBy	ThreatIntelligenceSortingCriteria[]	Zu sortierende Spalten und Sortierreihenfolge
sources	string[]	Quellen von Threat Intelligence-Indikatoren
threatTypes	string[]	Bedrohungstypen von Threat Intelligence-Indikatoren

Antworten

Name	Typ	Beschreibung
200 OK	ThreatIntelligenceInformationList	OK
Other Status Codes	CloudError	Fehlerantwort mit Beschreibung des Grunds für den Fehler.

Sicherheit

azure_auth

Azure Active Directory-OAuth2-Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name	Beschreibung
user_impersonation	Identitätswechsel Ihres Benutzerkontos

Beispiele

Query threat intelligence indicators as per filtering criteria

Sample Request

HTTP

POST https://management.azure.com/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatIntelligence/main/queryIndicators?api-version=2024-03-01

{
  "pageSize": 100,
  "minConfidence": 25,
  "maxConfidence": 80,
  "minValidUntil": "2020-04-05T17:44:00.114052Z",
  "maxValidUntil": "2020-04-25T17:44:00.114052Z",
  "sources": [
    "Azure Sentinel"
  ],
  "sortBy": [
    {
      "itemKey": "lastUpdatedTimeUtc",
      "sortOrder": "descending"
    }
  ]
}

Sample Response

Status code:: 200

{
  "value": [
    {
      "id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
      "name": "27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
      "etag": "\"00002f2c-0000-0800-0000-5e976a8e0000\"",
      "type": "Microsoft.SecurityInsights/ThreatIntelligence",
      "kind": "indicator",
      "properties": {
        "confidence": 90,
        "created": "2020-04-15T20:11:57.9666134Z",
        "createdByRef": "contoso@contoso.com",
        "externalId": "indicator--8516d567-0daa-4614-8745-e3591e1b48cf",
        "externalReferences": [],
        "granularMarkings": [],
        "lastUpdatedTimeUtc": "2020-04-15T20:15:11.0746926Z",
        "revoked": false,
        "source": "Azure Sentinel",
        "threatIntelligenceTags": [
          "new schema"
        ],
        "displayName": "new schema 2",
        "description": "debugging indicators 2",
        "threatTypes": [
          "compromised"
        ],
        "killChainPhases": [],
        "pattern": "[url:value = 'https://www.contoso.com']",
        "patternType": "url",
        "validFrom": "2020-04-15T17:44:00.114052Z",
        "parsedPattern": [
          {
            "patternTypeKey": "network-traffic",
            "patternTypeValues": [
              {
                "valueType": "0",
                "value": "SSH-2.0-PuTTY_Release_0.64"
              },
              {
                "valueType": "1",
                "value": "194.88.106.146"
              }
            ]
          }
        ]
      }
    },
    {
      "id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
      "name": "e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
      "etag": "\"00002a2c-0000-0800-0000-5e97683b0000\"",
      "type": "Microsoft.SecurityInsights/ThreatIntelligence",
      "kind": "indicator",
      "properties": {
        "confidence": 78,
        "created": "2020-04-15T19:51:17.1050923Z",
        "createdByRef": "contoso@contoso.com",
        "externalId": "indicator--73be1729-babb-4348-a6c4-94621cae2530",
        "externalReferences": [],
        "granularMarkings": [],
        "lastUpdatedTimeUtc": "2020-04-15T20:15:11.074903Z",
        "revoked": false,
        "source": "Azure Sentinel",
        "threatIntelligenceTags": [
          "patching tags"
        ],
        "displayName": "updated indicator",
        "description": "debugging indicators",
        "threatTypes": [
          "compromised"
        ],
        "killChainPhases": [],
        "pattern": "[url:value = 'https://www.contoso.com']",
        "patternType": "url",
        "validFrom": "2020-04-15T17:44:00.114052Z"
      }
    }
  ]
}

Definitionen

Name	Beschreibung
CloudError	Fehlerantwortstruktur.
CloudErrorBody	Fehlerdetails.
createdByType	Der Identitätstyp, der die Ressource erstellt hat.
systemData	Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.
ThreatIntelligenceExternalReference	Beschreibt externe Referenz
ThreatIntelligenceFilteringCriteria	Filterkriterien zum Abfragen von Threat Intelligence-Indikatoren.
ThreatIntelligenceGranularMarkingModel	Beschreibt die Entität des granularen Markierungsmodells für Bedrohungen.
ThreatIntelligenceIndicatorModel	Threat Intelligence-Indikatorentität.
ThreatIntelligenceInformationList	Liste aller Threat Intelligence-Informationsobjekte.
ThreatIntelligenceKillChainPhase	Beschreibt die Entität der Bedrohungs-Kill-Chain-Phase
ThreatIntelligenceParsedPattern	Beschreibt analysierte Musterentität
ThreatIntelligenceParsedPatternTypeValue	Beschreibt die Entität der Bedrohungs-Kill-Chain-Phase
ThreatIntelligenceResourceInnerKind	Die Art der Threat Intelligence-Entität
ThreatIntelligenceSortingCriteria	Liste der verfügbaren Spalten für die Sortierung
ThreatIntelligenceSortingOrder	Sortierreihenfolge (aufsteigend/absteigend/unsortiert).

CloudError

Fehlerantwortstruktur.

Name	Typ	Beschreibung
error	CloudErrorBody	Fehlerdaten

CloudErrorBody

Fehlerdetails.

Name	Typ	Beschreibung
code	string	Ein Bezeichner für den Fehler. Codes sind unveränderlich und sollten programmgesteuert verwendet werden.
message	string	Eine Meldung, die den Fehler beschreibt, der für die Anzeige in einer Benutzeroberfläche geeignet sein soll.

createdByType

Der Identitätstyp, der die Ressource erstellt hat.

Name	Typ	Beschreibung
Application	string
Key	string
ManagedIdentity	string
User	string

systemData

Metadaten, die sich auf die Erstellung und letzte Änderung der Ressource beziehen.

Name	Typ	Beschreibung
createdAt	string	Der Zeitstempel der Ressourcenerstellung (UTC).
createdBy	string	Die Identität, die die Ressource erstellt hat.
createdByType	createdByType	Der Identitätstyp, der die Ressource erstellt hat.
lastModifiedAt	string	Der Zeitstempel der letzten Änderung der Ressource (UTC)
lastModifiedBy	string	Die Identität, die die Ressource zuletzt geändert hat.
lastModifiedByType	createdByType	Der Identitätstyp, der die Ressource zuletzt geändert hat.

ThreatIntelligenceExternalReference

Beschreibt externe Referenz

Name	Typ	Beschreibung
description	string	Beschreibung externer Referenz
externalId	string	Externe Verweis-ID
hashes	object	Externe Verweishashes
sourceName	string	Name der externen Referenzquelle
url	string	URL für externen Verweis

ThreatIntelligenceFilteringCriteria

Filterkriterien zum Abfragen von Threat Intelligence-Indikatoren.

Name	Typ	Beschreibung
ids	string[]	Ids von Threat Intelligence-Indikatoren
includeDisabled	boolean	Parameter zum Einschließen/Ausschließen deaktivierter Indikatoren.
keywords	string[]	Schlüsselwörter für die Suche nach Threat Intelligence-Indikatoren
maxConfidence	integer	Maximale Zuverlässigkeit.
maxValidUntil	string	Endzeit für den ValidUntil-Filter.
minConfidence	integer	Minimale Zuverlässigkeit.
minValidUntil	string	Startzeit für den ValidUntil-Filter.
pageSize	integer	Page size (Seitengröße)
patternTypes	string[]	Mustertypen
skipToken	string	Token überspringen.
sortBy	ThreatIntelligenceSortingCriteria[]	Spalten zum Sortieren nach und Sortierreihenfolge
sources	string[]	Quellen für Threat Intelligence-Indikatoren
threatTypes	string[]	Bedrohungstypen von Threat Intelligence-Indikatoren

ThreatIntelligenceGranularMarkingModel

Beschreibt die Entität des granularen Markierungsmodells für Bedrohungen.

Name	Typ	Beschreibung
language	string	Differenziertes Sprachmarkierungsmodell
markingRef	integer	Referenzgranularmarkierungsmodell markieren
selectors	string[]	Differenzierte Markierungsmodellselektoren

ThreatIntelligenceIndicatorModel

Threat Intelligence-Indikatorentität.

Name	Typ	Beschreibung
etag	string	Etag der Azure-Ressource
id	string	Vollqualifizierte Ressourcen-ID für die Ressource. Beispiel: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind	string: indicator	Die Art der Entität.
name	string	Der Name der Ressource
properties.additionalData	object	Ein Beutel mit benutzerdefinierten Feldern, die Teil der Entität sein sollten und dem Benutzer angezeigt werden.
properties.confidence	integer	Vertrauen der Threat Intelligence-Entität
properties.created	string	Erstellt von
properties.createdByRef	string	Erstellt durch Verweis auf die Threat Intelligence-Entität
properties.defanged	boolean	Ist die Threat Intelligence-Entität defanged?
properties.description	string	Beschreibung einer Threat Intelligence-Entität
properties.displayName	string	Anzeigename einer Threat Intelligence-Entität
properties.extensions		Erweiterungszuordnung
properties.externalId	string	Externe ID der Threat Intelligence-Entität
properties.externalLastUpdatedTimeUtc	string	Externe Uhrzeit der letzten Aktualisierung in UTC
properties.externalReferences	ThreatIntelligenceExternalReference[]	Externe Verweise
properties.friendlyName	string	Der Graphelementanzeigename, der eine kurze lesbare Beschreibung des Graphelements instance ist. Diese Eigenschaft ist optional und kann vom System generiert werden.
properties.granularMarkings	ThreatIntelligenceGranularMarkingModel[]	Präzise Markierungen
properties.indicatorTypes	string[]	Indikatortypen von Threat Intelligence-Entitäten
properties.killChainPhases	ThreatIntelligenceKillChainPhase[]	Kill Chain-Phasen
properties.labels	string[]	Bezeichnungen der Threat Intelligence-Entität
properties.language	string	Sprache der Threat Intelligence-Entität
properties.lastUpdatedTimeUtc	string	Uhrzeit der letzten Aktualisierung in UTC
properties.modified	string	Geändert von
properties.objectMarkingRefs	string[]	Threat Intelligence-Entitätsobjektmarkierungsverweise
properties.parsedPattern	ThreatIntelligenceParsedPattern[]	Analysierte Muster
properties.pattern	string	Muster einer Threat Intelligence-Entität
properties.patternType	string	Mustertyp einer Threat Intelligence-Entität
properties.patternVersion	string	Musterversion einer Threat Intelligence-Entität
properties.revoked	boolean	Wird die Threat Intelligence-Entität widerrufen?
properties.source	string	Quelle einer Threat Intelligence-Entität
properties.threatIntelligenceTags	string[]	Liste der Tags
properties.threatTypes	string[]	Bedrohungstypen
properties.validFrom	string	Gültig ab
properties.validUntil	string	Gültig bis
systemData	systemData	Azure Resource Manager-Metadaten mit createdBy- und modifiedBy-Informationen.
type	string	Der Typ der Ressource. Z. B. "Microsoft.Compute/virtualMachines" oder "Microsoft.Storage/storageAccounts"

ThreatIntelligenceInformationList

Liste aller Threat Intelligence-Informationsobjekte.

Name	Typ	Beschreibung
nextLink	string	URL zum Abrufen des nächsten Satz von Informationsobjekten.
value	ThreatIntelligenceInformation[]: ThreatIntelligenceIndicatorModel[]	Array von Threat Intelligence-Informationsobjekten.

ThreatIntelligenceKillChainPhase

Beschreibt die Entität der Bedrohungs-Kill-Chain-Phase

Name	Typ	Beschreibung
killChainName	string	Kill chainNamename
phaseName	string	Phasenname

ThreatIntelligenceParsedPattern

Beschreibt analysierte Musterentität

Name	Typ	Beschreibung
patternTypeKey	string	Mustertypschlüssel
patternTypeValues	ThreatIntelligenceParsedPatternTypeValue[]	Mustertypschlüssel

ThreatIntelligenceParsedPatternTypeValue