tipo de recurso tiIndicator
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Representa los datos usados para identificar actividades malintencionadas.
Si su organización funciona con indicadores de amenazas, ya sea generando los suyos propios, obteniéndolos de fuentes de código abierto, compartiendo con organizaciones o comunidades asociadas, o comprando fuentes de datos, es posible que desee usar estos indicadores en varias herramientas de seguridad para la coincidencia con los datos de registro. La entidad tiIndicators permite cargar los indicadores de amenazas en las herramientas de seguridad de Microsoft para las acciones de permitir, bloquear o alerta.
Los indicadores de amenazas cargados a través de tiIndicator se usan con Microsoft Threat Intelligence para proporcionar una solución de seguridad personalizada para su organización. Al usar la entidad tiIndicator , especifique la solución de seguridad de Microsoft a la que desea utilizar los indicadores a través de la propiedad targetProduct y especifique la acción (permitir, bloquear o alerta) a la que la solución de seguridad debe aplicar los indicadores a través de la propiedad action .
Actualmente, targetProduct admite los siguientes productos:
Microsoft Defender para punto de conexión: admite los siguientes métodos tiIndicators:
Nota:
Los siguientes tipos de indicadores son compatibles con Microsoft Defender para punto de conexión targetProduct:
- Archivos
- Direcciones IP: Microsoft Defender para punto de conexión solo admite IPv4/IPv6 de destino: establezca la propiedad en las propiedades networkDestinationIPv4 o networkDestinationIPv6 en Microsoft Graph API para seguridad tiIndicator.
- Direcciones URL o dominios
Hay un límite de 15 000 indicadores por inquilino para Microsoft Defender para punto de conexión.
Microsoft Sentinel : solo los clientes existentes pueden usar tiIndicator API para enviar indicadores de inteligencia sobre amenazas a Microsoft Sentinel. Para obtener las instrucciones más actualizadas y detalladas sobre cómo enviar indicadores inteligentes de amenazas a Microsoft Sentinel, consulte Conexión de la plataforma de inteligencia sobre amenazas a Microsoft Sentinel.
Para obtener más información sobre los tipos de indicadores compatibles y los límites de los recuentos de indicadores por inquilino, vea Administrar indicadores.
Métodos
| Método | Tipo de valor devuelto | Descripción |
|---|---|---|
| Obtener tiIndicator | tiIndicator | Lee las propiedades y las relaciones del objeto tiIndicator. |
| Crear tiIndicator | tiIndicator | Cree un nuevo tiIndicator publicando en la colección tiIndicators. |
| Enumerar tiIndicators | colección tiIndicator | Obtenga una colección de objetos tiIndicator. |
| Actualizar | tiIndicator | Actualice el objeto tiIndicator. |
| Delete | Ninguno | Elimine el objeto tiIndicator. |
| deleteTiIndicators | Ninguno | Elimine varios objetos tiIndicator. |
| deleteTiIndicatorsByExternalId | Ninguno | Elimine varios objetos tiIndicator por la externalId propiedad . |
| submitTiIndicators | colección tiIndicator | Cree nuevos tiIndicators publicando una colección tiIndicators. |
| updateTiIndicators | colección tiIndicator | Actualice varios objetos tiIndicator. |
Métodos admitidos por cada producto de destino
| Método | Azure Sentinel | Microsoft Defender para punto de conexión |
|---|---|---|
| Crear tiIndicator | Los campos obligatorios son: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevely al menos un correo electrónico, red o archivo observable. |
Los campos obligatorios son: action, y uno de estos valores siguientes: domainName, url, networkDestinationIPv4, , networkDestinationIPv6, fileHashValue (debe proporcionar fileHashType en caso de fileHashValue). |
| Enviar tiIndicators | Consulte el método Create tiIndicator para ver los campos necesarios para cada tiIndicator. Hay un límite de 100 tiIndicators por solicitud. | Consulte el método Create tiIndicator para ver los campos necesarios para cada tiIndicator. Hay un límite de 100 tiIndicators por solicitud. |
| Actualizar tiIndicator | Los campos obligatorios son: id, expirationDateTime, targetProduct. Los campos editables son: action, activityGroupNames, additionalInformation, confidence, description, diamondModel, expirationDateTime, externalId, isActive, killChain, knownFalsePositives, lastReportedDateTime, malwareFamilyNames, passiveOnly, severity, , tags, tlpLevel. |
Los campos obligatorios son: id, expirationDateTime, targetProduct. Los campos editables son: expirationDateTime, severity, description. |
| Actualización de tiIndicators | Consulte el método Update tiIndicator para ver los campos necesarios y editables para cada tiIndicator. | |
| Eliminar tiIndicator | El campo obligatorio es : id. |
El campo obligatorio es : id. |
| Eliminación de tiIndicators | Consulte el método Delete tiIndicator anterior para obtener el campo necesario para cada tiIndicator. |
Propiedades
| Propiedad | Tipo | Descripción |
|---|---|---|
| acción | string | Acción que se aplicará si el indicador coincide desde dentro de la herramienta de seguridad targetProduct. Los valores posibles son: unknown, allow, block y alert. Necesario. |
| activityGroupNames | Colección de cadenas | Los nombres de inteligencia sobre amenazas cibernéticas para las partes responsables de la actividad malintencionada cubierta por el indicador de amenazas. |
| additionalInformation | Cadena | Un área catchall para datos adicionales del indicador que no está específicamente cubierto por otras propiedades de tiIndicator. La herramienta de seguridad especificada por targetProduct normalmente no usa estos datos. |
| azureTenantId | String | Estampado por el sistema cuando se ingiere el indicador. El Microsoft Entra identificador de inquilino del envío del cliente. Necesario. |
| confidence | Int32 | Entero que representa la confianza que los datos del indicador identifican con precisión el comportamiento malintencionado. Los valores aceptables son de 0 a 100 y 100 son los más altos. |
| description | Cadena | Breve descripción (100 caracteres o menos) de la amenaza representada por el indicador. Necesario. |
| diamondModel | diamondModel | Área del modelo de diamante en el que existe este indicador. Los valores posibles son: unknown, adversary, capability, infrastructure y victim. |
| expirationDateTime | DateTimeOffset | Cadena DateTime que indica cuándo expira el indicador. Todos los indicadores deben tener una fecha de expiración para evitar que los indicadores obsoletos persistan en el sistema. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. Necesario. |
| externalId | Cadena | Número de identificación que vuelve a conectar el indicador al sistema del proveedor del indicador (por ejemplo, una clave externa). |
| id | Cadena | Creado por el sistema cuando se ingiere el indicador. Identificador único o GUID generado. Solo lectura. |
| ingeridoDateTime | DateTimeOffset | Estampado por el sistema cuando se ingiere el indicador. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. |
| isActive | Booleano | Se usa para desactivar indicadores dentro del sistema. De forma predeterminada, cualquier indicador enviado se establece como activo. Sin embargo, los proveedores pueden enviar indicadores existentes con esta opción establecida en "False" para desactivar los indicadores en el sistema. |
| killChain | colección killChain | Matriz JSON de cadenas que describe qué punto o puntos de la cadena de eliminación tiene como destino este indicador. Consulte "killChain values" (Valores killChain) a continuación para ver los valores exactos. |
| knownFalsePositives | Cadena | Escenarios en los que el indicador puede provocar falsos positivos. Debe ser texto legible por el ser humano. |
| lastReportedDateTime | DateTimeOffset | La última vez que se vio el indicador. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. |
| malwareFamilyNames | Colección de cadenas | Nombre de familia de malware asociado a un indicador si existe. Microsoft prefiere el nombre de la familia de malware de Microsoft si es posible que se pueda encontrar a través de la enciclopedia de amenazas Windows Defender Security Intelligence. |
| passiveOnly | Booleano | Determina si el indicador debe desencadenar un evento visible para un usuario final. Cuando se establece en "true", las herramientas de seguridad no notificarán al usuario final que se ha producido un "acierto". Esto suele tratarse como un modo de auditoría o silencioso por parte de los productos de seguridad, donde simplemente registrarán que se produjo una coincidencia, pero no realizarán la acción. El valor predeterminado es false. |
| severity | Int32 | Entero que representa la gravedad del comportamiento malintencionado identificado por los datos dentro del indicador. Los valores aceptables son de 0 a 5, donde 5 es el más grave y cero no es grave en absoluto. El valor predeterminado es 3. |
| tags | Colección de cadenas | Matriz JSON de cadenas que almacena etiquetas o palabras clave arbitrarias. |
| targetProduct | Cadena | Valor de cadena que representa un único producto de seguridad al que se debe aplicar el indicador. Los valores aceptables son: Azure Sentinel, Microsoft Defender ATP. Required |
| threatType | threatType | Cada indicador debe tener un tipo de amenaza de indicador válido. Los valores posibles son: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA y WatchList. Necesario. |
| tlpLevel | tlpLevel | Valor de Traffic Light Protocol para el indicador. Los valores posibles son: unknown, white, green, amber y red. Necesario. |
Indicador observables: correo electrónico
| Propiedad | Tipo | Descripción |
|---|---|---|
| emailEncoding | Cadena | Tipo de codificación de texto usada en el correo electrónico. |
| emailLanguage | Cadena | Idioma del correo electrónico. |
| emailRecipient | Cadena | Dirección de correo electrónico del destinatario. |
| emailSenderAddress | Cadena | Email dirección del atacante|víctima. |
| emailSenderName | Cadena | Se muestra el nombre del atacante|victim. |
| emailSourceDomain | Cadena | Dominio usado en el correo electrónico. |
| emailSourceIpAddress | Cadena | Dirección IP de origen del correo electrónico. |
| emailSubject | Cadena | Línea de asunto de correo electrónico. |
| emailXMailer | Cadena | Valor de X-Mailer usado en el correo electrónico. |
Indicador observables: archivo
| Propiedad | Tipo | Descripción |
|---|---|---|
| fileCompileDateTime | DateTimeOffset | DateTime cuando se compiló el archivo. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. |
| fileCreatedDateTime | DateTimeOffset | DateTime cuando se creó el archivo. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. |
| fileHashType | string | Tipo de hash almacenado en fileHashValue. Valores posibles: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
| fileHashValue | Cadena | Valor hash del archivo. |
| fileMutexName | Cadena | Nombre de exclusión mutua que se usa en las detecciones basadas en archivos. |
| fileName | Cadena | Nombre del archivo si el indicador está basado en archivos. Varios nombres de archivo pueden delimitarse por comas. |
| filePacker | Cadena | El empaquetador usado para compilar el archivo en cuestión. |
| Filepath | Cadena | Ruta de acceso del archivo que indica el riesgo. Puede ser una ruta de acceso de estilo de Windows o *nix. |
| Tamaño | Int64 | Tamaño del archivo en bytes. |
| Eltipo | Cadena | Descripción del texto del tipo de archivo. Por ejemplo, "Word Document" o "Binary". |
Observables indicadores: red
| Propiedad | Tipo | Descripción |
|---|---|---|
| domainName | Cadena | Nombre de dominio asociado a este indicador. Debe tener el formato subdomain.domain.topleveldomain (por ejemplo, baddomain.domain.net) |
| networkCidrBlock | Cadena | Representación de notación de bloque CIDR de la red a la que se hace referencia en este indicador. Use solo si el origen y el destino no se pueden identificar. |
| networkDestinationAsn | Int32 | Identificador del sistema autónomo de destino de la red a la que se hace referencia en el indicador. |
| networkDestinationCidrBlock | Cadena | Representación de notación de bloque CIDR de la red de destino en este indicador. |
| networkDestinationIPv4 | Cadena | Destino de la dirección IP IPv4. |
| networkDestinationIPv6 | Cadena | Destino de la dirección IP IPv6. |
| networkDestinationPort | Int32 | Destino del puerto TCP. |
| networkIPv4 | Cadena | Dirección IP IPv4. Use solo si el origen y el destino no se pueden identificar. |
| networkIPv6 | Cadena | Dirección IP IPv6. Use solo si el origen y el destino no se pueden identificar. |
| networkPort | Int32 | Puerto TCP. Use solo si el origen y el destino no se pueden identificar. |
| networkProtocol | Int32 | Representación decimal del campo de protocolo en el encabezado IPv4. |
| networkSourceAsn | Int32 | Identificador del sistema autónomo de origen de la red a la que se hace referencia en el indicador. |
| networkSourceCidrBlock | Cadena | Representación de notación de bloque CIDR de la red de origen en este indicador |
| networkSourceIPv4 | Cadena | Origen de la dirección IP IPv4. |
| networkSourceIPv6 | Cadena | Origen de la dirección IP IPv6. |
| networkSourcePort | Int32 | Origen del puerto TCP. |
| URL | Cadena | Localizador uniforme de recursos. Esta dirección URL debe cumplir con RFC 1738. |
| userAgent | Cadena | User-Agent cadena de una solicitud web que podría indicar un peligro. |
valores de diamondModel
Para obtener información sobre este modelo, consulte El modelo de diamante.
| Miembro | Valor | Descripción |
|---|---|---|
| desconocido | 0 | |
| Adversario | 1 | El indicador describe al adversario. |
| Capacidad | 2 | El indicador es una capacidad del adversario. |
| Infraestructura | 3 | El indicador describe la infraestructura del adversario. |
| Víctima | 4 | El indicador describe a la víctima del adversario. |
| unknownFutureValue | 127 |
valores killChain
| Member | Descripción |
|---|---|
| Acciones | Indica que el atacante usa el sistema en peligro para realizar acciones como un ataque de denegación de servicio distribuido. |
| C2 | Representa el canal de control por el que se manipula un sistema en peligro. |
| Entrega | El proceso de distribución del código de vulnerabilidad de seguridad a las víctimas (por ejemplo, USB, correo electrónico, sitios web). |
| Explotación | El código de vulnerabilidad de seguridad que aprovecha las vulnerabilidades (por ejemplo, la ejecución de código). |
| Instalación | Instalar malware después de que se haya aprovechado una vulnerabilidad. |
| Reconocimiento | El indicador es evidencia de que un grupo de actividad recopila información que se usará en un ataque futuro. |
| Militarización | Convertir una vulnerabilidad en código de vulnerabilidad de seguridad (por ejemplo, malware). |
valores threatType
| Member | Descripción |
|---|---|
| Botnet | El indicador detalla un nodo o miembro de botnet. |
| C2 | El indicador detalla un nodo Command & Control de una botnet. |
| CryptoMining | El tráfico que implica esta dirección o dirección URL de red es una indicación de CyrptoMining/Abuso de recursos. |
| Darknet | El indicador es el de un nodo o red darknet. |
| Ddos | Indicadores relacionados con una campaña DDoS activa o próxima. |
| MaliciousUrl | Dirección URL que sirve malware. |
| Malware | Indicador que describe un archivo o archivos malintencionados. |
| Suplantación de identidad (phishing) | Indicadores relacionados con una campaña de suplantación de identidad (phishing). |
| Proxy | El indicador es el de un servicio proxy. |
| PUA | Aplicación potencialmente no deseada. |
| Lista de reproducción | Este es el cubo genérico para los indicadores para los que no se puede determinar la amenaza o que requieren interpretación manual. Los asociados que envían datos al sistema no deben usar esta propiedad. |
Valores de tlpLevel
Cada indicador también debe tener un valor de Protocolo de semáforo cuando se envía. Este valor representa el ámbito de confidencialidad y uso compartido de un indicador determinado.
| Member | Descripción |
|---|---|
| Blanco | Ámbito de uso compartido: ilimitado. Los indicadores se pueden compartir libremente, sin restricciones. |
| Verde | Ámbito de uso compartido: Comunidad. Los indicadores se pueden compartir con la comunidad de seguridad. |
| Ámbar | Ámbito de uso compartido: limitado. Esta es la configuración predeterminada para los indicadores y restringe el uso compartido solo a aquellos con una "necesidad de saber" siendo 1) Servicios y operadores de servicio que implementan inteligencia sobre amenazas 2) Clientes cuyos sistemas muestran un comportamiento coherente con el indicador. |
| Rojo | Ámbito de uso compartido: personal. Estos indicadores solo deben compartirse directamente y, preferiblemente, en persona. Normalmente, los indicadores rojos de TLP no se ingieren debido a sus restricciones predefinidas. Si se envían indicadores rojos de TLP, la propiedad "PassiveOnly" también debe establecerse en True . |
Relaciones
Ninguna.
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"action": "string",
"activityGroupNames": ["String"],
"additionalInformation": "String",
"azureTenantId": "String",
"confidence": 1024,
"description": "String",
"diamondModel": "string",
"domainName": "String",
"emailEncoding": "String",
"emailLanguage": "String",
"emailRecipient": "String",
"emailSenderAddress": "String",
"emailSenderName": "String",
"emailSourceDomain": "String",
"emailSourceIpAddress": "String",
"emailSubject": "String",
"emailXMailer": "String",
"expirationDateTime": "String (timestamp)",
"externalId": "String",
"fileCompileDateTime": "String (timestamp)",
"fileCreatedDateTime": "String (timestamp)",
"fileHashType": "string",
"fileHashValue": "String",
"fileMutexName": "String",
"fileName": "String",
"filePacker": "String",
"filePath": "String",
"fileSize": 1024,
"fileType": "String",
"id": "String (identifier)",
"ingestedDateTime": "String (timestamp)",
"isActive": true,
"killChain": ["String"],
"knownFalsePositives": "String",
"lastReportedDateTime": "String (timestamp)",
"malwareFamilyNames": ["String"],
"networkCidrBlock": "String",
"networkDestinationAsn": 1024,
"networkDestinationCidrBlock": "String",
"networkDestinationIPv4": "String",
"networkDestinationIPv6": "String",
"networkDestinationPort": 1024,
"networkIPv4": "String",
"networkIPv6": "String",
"networkPort": 1024,
"networkProtocol": 1024,
"networkSourceAsn": 1024,
"networkSourceCidrBlock": "String",
"networkSourceIPv4": "String",
"networkSourceIPv6": "String",
"networkSourcePort": 1024,
"passiveOnly": true,
"severity": 1024,
"tags": ["String"],
"targetProduct": "String",
"threatType": "String",
"tlpLevel": "string",
"url": "String",
"userAgent": "String"
}
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de